"امنیت" فقط در صورت درخواست – Messenger Part3 K Kuketz IT Security Blog

اگر همتای خود را تأیید نکنید ، هرگز مطمئن نخواهید شد که در واقع در حال تبادل پیام با شریک ارتباطی مورد نظر یا احتمالاً با شخص ثالث ناشناخته هستید. برای این منظور ، تلگرام احراز هویت را بر اساس یک رشته / تصویر شخصیت ارائه می دهد که نوع اثر انگشت را نشان می دهد:

3. مرکزی فدرال Decentralized

در تلگرام ، تمام ارتباطات و تبادل پیام از طریق سرورهای مرکزی ، که در سراسر جهان توزیع می شوند ، صورت می گیرد. بنابراین یک سرور یا خوشه سرور وجود دارد که در آن هر شرکت کننده باید ثبت نام کند. در نهایت ، فقط اپراتورهای تلگرام وظیفه کنترل کل سرویس و جهت آینده آن را بر عهده دارند. در حال حاضر (و احتمالاً در آینده) نیز هیچ برنامه ای برای سازگاری با معماری سیستم وجود ندارد تا فدراسیون اجازه دهد.

4. Metadata

Telegram اطلاعات کمی در مورد نحوه اداره ابرداده دارد. با این حال ، تجزیه و تحلیل بیانیه حفاظت از داده منجر به این نتیجه می شود که مسنجر هیچ تلاشی برای جلوگیری یا خراب کردن ابرداده ها نمی کند:

• کلیه محتوای ارتباطی (به جز "چت های مخفی") بطور دائم روی سرورها ذخیره می شود و فقط درصورتی که حذف شود حذف می شود. کاربر پیام ها یا حساب کاربری خود را حذف می کند. اگر شماره تلفن کاربر مجدداً تنظیم شود ، ممکن است رخ دهد که شخص ثالث از جمله همه پیامهای ذخیره شده به حساب Telegram دسترسی پیدا کند. اگر می خواهید از این امر جلوگیری کنید ، باید قبل از تغییر شماره ها ، اکانت خود را جابجا / حذف کنید.
• تلگرام تمام شماره های تلفن ، از جمله نام مخاطب (نام و نام خانوادگی) را به طور دائم روی سرورها ارسال و ذخیره می کند. و حداقل به عنوان یک اختصار ، مانند آن که معمولاً اتفاق می افتد ، محافظت نمی شود ، بلکه مستقیماً به شکل متن ساده است. از طریق تنظیمات -> حریم خصوصی و امنیت -> مخاطبین -> مخاطبین هماهنگ شده اطلاعات تماس ارسال شده را می توان از سرور حذف کرد.
• وقتی پیام توسط کاربر باز می شود ، با وضعیت "خوانده شده" مشخص می شود. این عملکرد غیرفعال است.
• همانند WhatsApp ، نظارت بر وضعیت آنلاین سایر کاربران تلگرام نسبتاً آسان است.
• آدرس IP (ها) ، اطلاعات مربوط به نوع دستگاه مورد استفاده ، نسخه برنامه و نام كاربر (از جمله سابقه تغيير) حداكثر تا دوازده ماه ذخیره می شود
• چگونه تلگرام اطلاعات مربوط به كسی را كه با آنها ارتباط برقرار می كند و چه زمانی ناشناخته است ، ذخیره می كنیم. . این عدم شفافیت همچنین شامل دستیابی به داده های مکان است.

5. شناسه

تلگرام با استفاده از شماره تلفن ثبت شده است كه لازم نيست شماره دستگاه باشد. سپس تأیید از طریق پیام کوتاه یا اتصال انجام می شود. سپس می توانید همگام سازی یا انتقال کتاب آدرس (شماره تلفن ، نام مخاطب) را با سرورهای تلگرام انتخاب کنید. در صورت امتناع ، می توانید (یا علاوه بر این) نام کاربری خود را ایجاد کرده و از آن برای تماس با سایر کاربران تلگرام استفاده کنید. با این وجود ، استفاده از چنین شناسه جایگزین با تلگرام مشکلی ندارد:

لطفا توجه داشته باشید که کاربران می توانند پیام های شما را حتی اگر شماره شما را نمی دانند ارسال کنند. اگر آن را نمی خواهید ، فقط نام کاربری خود را پیکربندی نکنید.

برای استفاده از تلگرام ، بنابراین تهیه شماره تلفن آن کاملاً ضروری نیست بلکه ثبت نام است. احتمالاً اکثر کاربران این کار را انجام می دهند زیرا تلگرام می داند چه کسی از مخاطبین شما نیز از تلگرام استفاده می کند و می تواند آنها را مستقیماً به شما نشان دهد – به اصطلاح Contact Discovery

6. منبع باز شفافیت

متن منبع مشتری Telegram منبع باز (مجوز GNU GPL) است و به همین دلیل برای همه قابل مشاهده است. این امکان کنترل امنیتی مستقل را می دهد ، اما فقط به میزان محدود ، زیرا زیرساخت های سرور محدود است. تجزیه و تحلیل امنیتی انجام شده در ماه مه 2017. این تنها ممیزی تلگرام است که تا به امروز آسیب پذیری های مختلفی از آن شناسایی شده است

. تلگرام همچنین در برنامه جایزه خطای HackerOne شرکت می کند. با گزارش اشکالات یا حفره های امنیتی ، پخش کنندگان می توانند پاداش دریافت کنند. معمولاً پاداش با توجه به میزان تأثیر خطا بر روی نرم افزار یا زیرساخت ها ، اندازه گیری می شود.

7. چیزهایی که می دانید

در اینجا نکاتی وجود دارد که می دانید تلگرام ارائه می دهد:

• نسخه رایانه و اینترنت : کاربران می توانند مکالمات خود را بر روی چندین دستگاه همگام سازی کنند – مشتری های رومیزی مربوطه. (ویندوز / مک / لینوکس) ، مرورگر (نسخه اینترنتی تلگرام) و تلفن هوشمند (Android ، iOS ، Windows Phone) در دسترس هستند. با این حال ، پیام ها می توانند همزمان هماهنگ شوند اگر عملکرد چت های مخفی (E2EE برای گفتگوها) فعال نشده باشد . این بدان معنی است: همگام سازی گپ در حالت چت مخفی در بسیاری از دستگاه های کاربر پشتیبانی نمی شود
• ربات ها : تلگرام یک API را ارائه می دهد که از طریق آن می توان با استفاده از چت گروهی ، رباتها را اضافه و کنترل کرد. ربات چیزی بیش از یک حساب کاربری معمولی Telegram نیست که با این وجود توسط یک انسان بلکه توسط یک ماشین (نرم افزار) اداره نمی شود. برای مثال تلگرام ازImageBot ،HotOrBot یاGitHubBot پشتیبانی می کند که عملکردهای مختلفی را ارائه می دهند.
• کانال ها : کانال ها گپ هایی هستند که فقط بعضی از اعضا (سرپرستان) می توانند بنویسند. این کانال ها می توانند برای مثال برای ردیابی وبلاگ ، سایت خبری و غیره توسط کاربران Telegram مشترک شوند یا پیام دریافت کنند. برخلاف کانال های خصوصی ، کانال های عمومی مشمول محدودیت های شرکت کنندگان نیستند. فید تلگرام با یک فید RSS قابل مقایسه است.
• تماس صوتی : تلگرام همچنین امکان برقراری تماس صوتی رمزگذاری شده را نیز ارائه می دهد. ارتباط بین شرکت کنندگان یا به صورت همتا (مستقیم) یا از طریق سرور Telegram (غیر مستقیم) هدایت می شود. واقعیت جالب: برخلاف چت های معمولی ، تماس های صوتی از طریق چت های انتهایی از انتها تا انتها رمزگذاری می شوند.
• بدون وابستگی به Google : تلگرام را می توان کاملاً از فروشگاه Google Play Play Store جدا کرد. اما این همه چیز نیست: این برنامه همچنین بدون کتابخانه اختصاصی Google یا Firebase Cloud Messaging کاملاً کار می کند ، زیرا توسعه دهندگان خدمات پیام رسانی خود را یکپارچه کرده اند.

8. تلگرام: مزایا و معایب در یک نگاه

مثبت:

• از طریق نسخه اینترنتی تلگرام که می توانید از طریق مرورگر صحبت کنید (روی دسک تاپ)
• تبادل پیام بدون ارائه شماره تلفن امکان پذیر است
• کاملاً بدون استفاده از یک حساب Google یا کتابخانه های اختصاصی Google
• اتصالات صوتی رمزگذاری شده امکان پذیر است (تلفن تلفنی نیست)
• مشتری نرم افزار منبع باز است و شما می توانید کد منبع را از این طریق مشاهده کنید

منفی:

• پیش فرض ، پایان تا پایان رمزگذاری نیست برای چت های فعال فعال است و حتی برای چت های گروهی نیز ارائه نشده است
• به سختی اطلاعاتی در مورد ذخیره و استفاده از ابرداده
• زیرساخت های سمت سرور منبع باز یا منبع باز نیست
• اعلامیه حفاظت از داده ها فقط به زبان انگلیسی موجود است [19659018] جذاب برای مقامات زیرا پیام های "عادی" و پیوند به آن مخاطبین معمولاً با متن ساده به اپراتورهای تلگرام ارسال می شوند
• ذخیره اطلاعات مخاطب (شماره تلفن ، نام و نام خانوادگی) در سرورهای تلگرام بدون رضایت شخص مورد نظر
• شماره تلفن مورد نیاز برای ثبت نام در سایت
• پیام ها در دستگاه ذخیره می شوند رمز نشده

9. نتیجه گیری

تلگرام مطمئناً مزایای آن را دارد. با این حال ، این موارد در زمینه حفاظت از داده ها و امنیت کمتر است. ممکن است فعالان هنگ کنگ از این تصور غلط خداحافظی کرده اند زیرا می ترسند دولت چین از تلگرام برای افشای آن استفاده کند. در مقابل این زمینه ، بیان بازاریابی تلگرام بیش از این قابل سؤال است:

Telegram یک برنامه پیام رسانی موبایل و دسک تاپ مبتنی بر ابر است که بر امنیت و سرعت متمرکز است.

کسری امنیتی می تواند برای افراد آزار دهنده باشد – برای فعالان هنگ کنگ خطرناک است.

برای استفاده خصوصی ، تلگرام یک پیام رسان قابل اعتماد است که ویژگی های جالبی را ارائه می دهد. با این حال ، اگر از امنیت و حفظ حریم شخصی خودداری می کنید ، باید در انتخاب خود تجدید نظر کنید.

منابع تصاویر :

آرم تلگرام: https://telegram.org/ دانشگاه19659060 продаه Aautorociation19659008 آورنده19459027] مایک کوکتز ” width=”200″ height=”250″/>

نام من مایک کوک این وبلاگ برای تبدیل موضوعات [مربوطبهامنیت و مربوط به حفاظت از داده برای درک و در دسترس همه آسان تر است.

در کارهای مستقل من به عنوان پنتستر (Kuketz IT-Security) من به نقش یک "هکر" می پردازم و به دنبال نقاط ضعف در سیستم های IT ، برنامه ها و برنامه های اینترنتی هستم. علاوه بر این ، من مدرس امنیت فناوری اطلاعات در دانشگاه دوتایی در کارلسروهه و از جمله دیگران به عنوان نویسنده مجله کامپیوتر ج.

وبلاگ کوکتز یا شخص من به طور مرتب در رسانه ها (heise online ، Sdeddeutsche Zeitung و غیره) حضور دارد.

اطلاعات بیشتر ➡