بد یا بدتر

اخیرا که تلگرام فیلتر شده و در فاز بعدش فیلترشکن هاهم شروع به بسته شدن کردن به لطف دوست مون که دستش روی دکمه فیلترینگ نمیره (:

مردم برای استفاده از گزینه های جایگزین تلگرام به سمت موارد دیگه سرایز شدن . در این شرایط ؛ همونطور که قبلا هم گفتم انتخاب گزینه های داخلی اصلا به صلاح نیست پس راه حل چیه ، انتخاب گزینه های ایمن .

سوالی که پیش میاد اینه که در بین گزینه های پیام رسان موجود کدوم ایمن تره ؟ 

از بین گزینه های موجود استفاده از مواردی که از الگوریتم های end-to-end استفاده میکنند گزینه های امن فعلی به حساب میان . به صورت ساده تر الگوریتم end-to-end :

یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام‌ها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده می‌شود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکان‌پذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف داده‌های در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکت‌هایی که از شیوه رمزگذاری سرتاسر استفاده می‌کنند، نمی‌توانند پیام‌های مشتریان خود را به مقامات امنیتی ارائه دهند.

از بین گزینه های پیام رسان موجود signal و whatsup از مواردی هستند که از این الگوریتم استفاده میکنند .

این وسط پیام رسان signal به تازگی توسط گروهی از هکر های کلاه سفید در آرژانتین تونستند که این پیام رسان هک کنند . داستان از این قرار که دو متخصص امنیت نرم افزار ، ایوان اریال و الفردو اورتگا داشتن داخل سیگنال چت میکردند که یکی از اونها آدرسی وبسایتی که آسیب پذیری xss payload داشته برای نفر دوم میفرسته و بصورت اتفاقی آسیب پذیری اجرا میشه .

xss که بعنوان cross-site scripting هم شناخته میشه ، نوعی آسیب پذیری مرسوم که مهاجم از طریق اون کد مخربشو به برنامه مورد نظرش تزریق میکنه .

بعد از بررسی های صورت گرفته اعلام کردند که این آسیب پذیری از طریق تابعی که وظیفه به اشتراک گذاشتن لینک ها روداره تونسته اجرا بشه که به مهاجم ها اجازه میده از طریق محتوایی که داخل برنامه به اشتراک گذاشته اند  آسیب پذیری تزریق کنند .

این آسیب پذیری به سرعت توسط تیم توسعه دهنده سیگنال درهفته ای که گذشت  برطرف شد.

با بررسی های بیشتری که توسط این تیم هکر صورت گرفته اعلام کردند که این آسیب پذیری خطرناک نیست و همچنان از سیگنال به عنوان یکپیام رسان ایمن میشه استفاده کرد .

بد یا بدتر :

سیگنال با داشتن حتی آسیب پذیری هم هنوز نسبت پیام رسان های داخلی از امنیت بیشتری برخورداره ، چرا که از الگوریتم  end to end  برای تامین امنیت کاربرانش استفاده میکنه و این مزیت اصلی اون نسبت به پیام رسان های داخلی .

پی نوشت : 

از اونجایی که هیچ برنامه ای صد در صد ایمن نیست لازم دونستم که درباره آسیب پذیری های سیگنال هم بنویسم ، اما هنوز معتقدم که به دلیل مزایای پیام رسانی مثل سیگنال ازجمله امنیت لازمه که از اون برای جاگزین های احتمالی تلگرام استفاده کنیم .