امنیت پیام رسان سروش در هاله‌ای از ابهام ؛ کاربران چه می‌گویند؟

اخیرا میلاد نوری، توسعه دهنده شناخته شده در فضای مجازی توانسته است به داده‌ها و شماره تلفن همراه ادمین کانال محمد جواد آذری جهرمی، وزیر ارتباطات در پیام رسان ایرانی سروش، دسترسی پیدا کند. موضوعی که منجر شد امنیت پیام رسان سروش زیر سوال برود.

میلاد نوری کارشناس فناوری ارتباطات با انتشار تصویری در کانال تلگرامی‌اش نوشت:

به درخواست دوستان اپلیکیشن پیام‌ رسان سروش رو بررسی کردم.

سروش در یک اقدام بسیار غیرحرفه‌ای از شماره موبایل افراد به عنوان آی‌دی استفاده کرده و در پاسخ وبسرویس‌ها، شما می‌توانید شماره موبایل مدیران کانال‌ها و اعضای گروه‌ها رو مشاهده کنید که از نظر امنیتی فاجعه ست.

به عنوان مثال: در تصویر شماره موبایل ادمین کانال جناب آقای جهرمی (وزیر ارتباطات) رو مشاهده می‌کنید.”

میلاد نوری (Miladᴺᴼᵁᴿᴵ（ツ）)، مهندس مکانیک و توسعه‌دهنده اپلیکیشن موبایلی است. او در توئیت‌های جداگانه دیگری به اظهار نظر در خصوص پیام رسان‌های داخلی و امنیت پیام رسان سروش پرداخت. او گفت:

حمایت از اپلیکیشن ایرانی هم معنیش این نیست از هر مزخرفی حمایت کنیم. پیام‌رسان ایرانی ابتدایی ترین مسایل امنیتی رو رعایت نکرده. بعد انتظار دارن همه ازش حمایت کنن. مزخرف، مزخرفه چه ایرانی چه خارجی. اپ خوب هم خوبه. چه ایرانی چه خارجی.

کسی نگفته ایرانی‌ها بلد نیستن یک اپلیکیشن با کیفیت تلگرام تولید کنن. بلکه مدیران و تصمیم‌گیران بلد نیستن کار رو به افرادی که باید بسپارن. همیشه فقط یک رانت مالی/رسانه‌ای رو در اختیار یکسری افراد قرار دادن که خروجیش مشخص بوده. سیستم عامل ملی. پیام رسان ملی و …

کاربری به نام Parsa در توئیتر، این پرسش را مطرح کرد که آیا دسترسی پیامرسان سروش به موقعیت مکانی کاربر، جزء اختیاراتی است که کاربران به این اپ داده‌اند یا به طور پیشفرض در برنامه لحاظ شده است. او نوشت:

در پیامرسان #سروش موقعیت مکانی ارسال میشه، سوالی که پیش میاد دسترسی رو کاربر میده یا پیشفرض در برنامه ارسال میشه؟

بیشتر نظرات کاربران فارسی زبان در توئیتر، دیدی انتقادی نسبت به حریم خصوصی و امنیت پیام رسان سروش داشته است. اما کاربری به نام سیروس نظری دیگر دارد. او معتقد است حجم بالای پیام‌های رد و بدل شده امکان مانیتورینگ آنها را غیرممکن می‌کند. او در توئیتی نوشت:

۴۰ میلیون ایرانی از پیام رسان ها استفاده میکنند اگر هر کدام فقط روزی ۱۰ پیام بفرستند روزانه۴۰۰ میلیون پیام در سیستم یک پیام رسان ذخیره میشود برادر و خواهر عزیز تر از جان: این حجم نیاز به حداقل نیم میلیون کارمند داره برای مانیتورینگ. چیزی که دارن بهتون القا میکنند از اساس وجود نداره

اما نظر سیروس بدون پاسخ نبود. کاربر دیگری به نام جاشوآ که خود را یک توسعه دهنده اپلیکیشن موبایل معرفی می‌کند، معتقد است برای مانیتورینگ پیام‌ها به افراد حقیقی نیازی نیست. او در پاسخ به توئیت بالا نوشت:

به عنوان یک موبایل اپ دولوپر میگوییم که این مزخرف است. اصلان نیاز به فرد حقیقی برای مانیتورینگ نیست. با یک برنامه نسبتا ساده می‌توان به راحتی پیام‌های غیر رمز گذاری شده را خواند و فیلتر کرد. #فیلترینگ_تلگرام #سروش

کاربر دیگری به نام Behrouz Khezry انتقاد دیگری نیز به اپلیکیشن سروش دارد. بنابر گفته این کاربر پیامرسان سروش فاقد پروتکل امنیتی TLS است. TLS یا پروتکل امنیت لایه انتقال (Transporting Layer Security) وظیفه دارد در برقراری ارتباط بین دو اپلیکیشن در محیط شبکه حریم خصوصی و یکپارچگی اطلاعات را فراهم کند. این کاربرد نقد خود را اینگونه در توئیت‌اش مطرح کرد:

شما فکر کن پیام‌رسان #سروش حتی TLS نداره. حداقل امکانی که برای هر ارتباط با سرور لازمه داشته باشی. من برنامه برای دل خودم می‌نویسم، سرورش این امکان رو داره. اینا که اطلاعات مهم رو رد و بدل می‌کنن دیگه هیچی.

Alireza Hosseinnejad‏ ، کاربری دیگری بود که به تفسیر چرایی عدم اعتماد کاربران به پیام رسان سروش پرداخت. او معتقد است که برای موفقیت یک پیام رسان بومی ، نیاز است تا در سطح جهانی رقابت کند. او در توئیت خود نوشت:

یکی از پیشنیازهای #موفقیت پیام‌رسان‌های داخلی اینه که جهانی فکر و عمل کنند و خود را محدود #ایران نکنند. تجربه حضور بین‌المللی و گرفتن سهم از آن، کیفیت کارشان را بالا خواهد برد و #اعتماد به آنها را افزایش خواهد داد. #آی‌گپ #بله #سروش #ایتا

سئوالی که مطرح است اینه که این پیام‌رسان‌ها چه سازوکار و زیرساختی رو برای حضور و #تجربه بین‌المللی فراهم کرده‌اند؟

اکانت دیگری به نام EMAD نسبت به امنیت اپلیکیشن ایرانی سروش نظر مساعدتری دارد. او با قیاس این پیام رسان با تلگرام گفت:

به اونایی که از ضعف امنیتی پیام رسان #سروش صحبت میکنن و دلیلشون هم انتشار شماره تلفن وزیر ارتباطاته باید بگم تلگرام هم بعد این همه اولدرون الدورن های امنیتی ، باگ مشابه داره خیلی کار سختی نیس استخراج شماره از ای دی تلگرام

تنوع نظرات کاربران بسیار گوناگون است و آنها از مناظر متفاوت به بحث امنیت پیام رسان سروش پرداخته‌اند. یکی از این نظرات متفاوت را کاربری به نام بدیعی داشت. او فارغ از این بحث، معتقد بود حضور افراد با مشخصات واقعی‌شان در فضای مجازی بهتر است. او گفت:

حالا کاری به #سروش ندارم؛ ولی اینکه آی دی هر کسی شماره تلفنش باشه چرا بده؟ مثل واتس اپ بساط فیک بازی ها جمع میشه؛ این خوبیشه

کاربر دیگری به نام amirreza بحث حمایت از کالای ایرانی را مطرح کرد. او معتقد بود نباید به هر قیمتی از کالای ایرانی حمایت کرد. amirreza با انتشار تصویری از یک توئیت دیگر نوشت :

 آقا فرمودن #حمایت_از_کالای_ایرانی اما نه به هر قیمتی… به احترام مردم کشورم از #سروش استفاده نمیکنم #انقلابی_ام_اما_از_سروش_استفاده_نمیکنم #تلگرام

بحث حمایت از کالای ایرانی را می‌توان با توئیت زیر دنبال کرد. کاربری به نام مرادی اسکرین‌شات زیر را منتشر کرد و توئیت میلاد نوری را با این نظر ریپلای کرد:

یک سالی هست که از #سروش استفاده می کنم و به همه هم توصیه کردم استفاده کنند. حتی کانال کلاسم رو به سروش منتقل کردم در جهت حمایت از تولید ملی دیروز این پیام تو تلگرام برام اومد. به کارشناس #سروش پیام دادم دو روزه حتی سین هم نکرده پیام من رو بعد میگن از تولید ملی حمایت کنید

کاربر دیگری به نام Hojjat Jafary در مقام دفاع تمام قد از امنیت پیام رسان سروش برآمد و مدعی شد خود کانال‌هایی را چک کرده و Stringهایی یکسان مشاهده کرد. او تصویر زیر را منتشر کرد و نوشت:

یکی بهم گفت شماره تلفن وزیر رو از تو پیامرسان #سروش در آوردن، من که چک کردم برای همه ی کانال ها یه string ثابت بود، اگه واقعا حفره ی امنیتی داره بگید ولی خواهشا دروغ نگید! آفرین…

یک کاربر دیگر به نام m_karaminejad75 در توئیتر نیز تصویری از داده‌های برخی کانال‌ها در پیام رسان سروش منتشر کرد و نوشت:

تصاویری که مشاهده می فرمایید مربوط به هک شدن #پیام_رسان_ایرانی#سروش است که تمامی اطلاعات مربوط به ادمین کانال ها را افشا کرده! این است امنیت پیام رسان ایرانی! #تلگرام#فیلترینگ#فیلترینگ_تلگرام

بدیهی است تکراتو هیچ یک از این نظرات را تایید و رد نمی‌کند و صرفا به عنوان نمونه‌ای از نظرات بیشمار کاربران در فضای مجازی، آنها را منتشر می‌کند. همچنین تاکنون تیم پیام رسان سروش نه در وب‌سایت‌ و نه در سایر شبکه‌های اجتماعی‌ هیچگونه واکنشی به این موضوع نشان نداده‌اند.

بیشتر بخوانید :

• بررسی پیام رسان سروش؛ هر آنچه که باید در مورد اپلیکیشن ایرانی سروش بدانید
• بررسی تکلیف تلگرام در ایران ؛ آیا تلگرام راهزن است؟!
• بررسی اپلیکیشن ایتا و ویژگی‌های این پیام‌رسان ایرانی ؛ گزینه‌ای برای جایگزینی تلگرام

منبع: تکراتو