هشدار در باره امنیت پیام‌رسان‌های داخلی/ داده‌های مشترکان لو می‌رود!

آخرین اخبار حول محور پیام‌رسان‌های ایرانی، حاکی از آن است که ۴ پیام‌رسان بله، ایتا، گپ و آی‌گپ با یک به‌روزرسانی به مرکز پیام یکدیگر متصل شدند تا کاربران هرکدام از این پیام‌رسان‌ها امکان ارسال پیام به هم را داشته باشند؛ قابلیت اتصال به دیگر پیام‌رسان‌ها از طریق بخشِ حریم خصوصی و امنیتِ این پیام‌رسان‌ها باید توسط کاربر فعال شود.

انتشار این خبر با گمانه‌زنی‌های زیادی از سوی کارشناسان فضای مجازی همراه‌شد. برخی از کارشناسان بر این باورند که اتصال پیام‌رسان‌ها و یکپارچه سازی آن به معنای، تشکیل مرکز داده‌ای تجمیعی از اطلاعات کل پیام رسان های داخلی است.
در این میان برخی دیگر از کارشناسان بر این باورند که، یک سرور واسط احتمالا در وزارت ارتباطات برپا شده که تبادل پیام‌ها با آن خواهد بود.

آنچه که نگرانی کارشناسان را برانگیخته است اما غیرممکن شدن E2EE یا رمزنگاری انتها به انتها در این حالت است؛ به گفته کارشناسان در پیام‌رسان‌های داخلی چنین امکانی فعلا فعال نیست اما به طور کلی اینگونه تبادل پیام‌ها فاقد رمزنگاری است و نسخه‌ای از همین پیام‌ها در سرور واسط ذخیره‌سازی و پردازش می‌شود.

به گزارش gsxr نیما امیرشکاری، مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی، در گفت‌وگو با خبرآنلاین در واکنش به خبر ادغام پیام‌رسان داخلی؛ گفت:« اعتبار امنیت پیام‌رسان‌ها تنها با رمزگذاری سراسری سنجیده نمی‌شود و E2EE تنها یکی از حلقه‌های زنجیره امنیتی پیام‌رسان‌ها هستند.»
امیرشکاری در ادامه گفت:« دو فلسفه امنیتی برای پیام‌رسان‌ها مطرح است، اول آنکه پیام‌رسان‌ها برای کاربر امن باشد، به این معنا که امنیت داده‌های وی به مخاطره نیافتد و دست غیر نیفتد، و دوم آنکه خود ادمین‌ها و یا صاحبان پیام‌رسان‌ها بتوانند یا نتوانند به این اطلاعات کاربر دسترسی داشته‌باشند.»

مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی در ادامه گفت: «در پیام‌رسان‌های داخلی و با توجه به اینکه قانون حمایت از مصرف‌کننده دیجیتال در کشور ما جای کار دارد، امنیت داده‌ها در پیام‌رسان‌های داخلی خیلی مطرح نبوده است و کنترل خاصی بر روی آنها صورت نگرفته‌ است و در اکثر اپلیکیشن‌های پیام رسان، خود کاربر نیز اجازه دسترسی به مخاطبین و یا آلبوم عکس‌ها را به پیام‌رسان می‌دهد و متاسفانه هیچ تضمینی وجود ندارد که این داده‌های در اختیار مسئولین پیام‌رسان‌ها قرار خواهد گرفت و یا آیا آن‌ها از داده‌های استفاده خواهند کرد یا خیر و حتی شواهد حاکی از آن است که به واسطه اینکه این پیام‌رسان‌ها شرکت‌های ثبت شده در ایران هستند، موظف هستند که اگر نیازی وجود داشته باشد، داده‌های کاربران را در اختیار افرادی قرار دهند که زور آنها می‌چربد و حتی اگر رمزگذاری سراسری نیز وجود داشته باشد، بازهم معنایی ندارد و هر نهادی که زور آن برسد می‌تواند به این داده‌ها دسترسی داشته باشد.»

نیما امیرشکاری در آخر افزود: «اتصال این ۴ پیام‌رسان‌ها به احتمال زیاد به صورت سرور به سرور خواهد بود، چون به سرعت این اتفاق افتاده است و هزینه کمتری دارد و در این حال هر دو طرف نسخه‌ای از داده‌های کاربران خود را ذخیره خواهند کرد تا بتوانند آنها را در آرشیو و یا موارد مصرفی بعدی استفاده کنند.»