پشت پرده پیامرسان جنجالی ایلان ماسک؛ چرا XChat یک فاجعه امنیتی و طبل توخالی است؟
بحران رمزنگاری در پلتفرم جدید ایلان ماسک! تحلیل تخصصی کارشناسان 24نیوز نشان میدهد پیامرسان نوظهور XChat برخلاف ادعاهای بزرگ مالک آن، با ذخیرهسازی کلیدهای خصوصی کاربران در سرورهای خود، حریم خصوصی میلیونها نفر را به خطر انداخته است.
۱. داستان ادعاهای بزرگ: از «رمزنگاری بیتکوینی» تا واقعیت تلخ
ایلان ماسک در زمان معرفی این برنامه مدعی شد که XChat با زبان پیشرفته Rust نوشته شده و از سیستم «رمزنگاری به سبک بیتکوینی» استفاده میکند. این عبارت فوراً جامعه امنیت سایبری جهان را به خنده و تعجب واداشت؛ چرا که ماهیت بیتکوینی و بلاکچین اصلاً بر پایه «مخفیکاری» نیست، بلکه بر پایه «شفافیت مطلق» است تا همه تراکنشها را ببینند! در واقع ماسک از این کلمه صرفاً به عنوان یک شگرد تبلیغاتی (مارکتینگ) استفاده کرده بود.
۲. پاشنه آشیل سرورهای ماسک: کلیدهای شما دست ایلان است!
در پیامرسانهای واقعاً امن مثل سیگنال، «کلید خصوصی» که قفل چتهای شما را باز میکند، فقط و فقط روی گوشی خودتان ذخیره میشود. این یعنی حتی اگر خود شرکت سیگنال هم بخواهد یا سرورهایش هک شوند، هیچکس نمیتواند متن چتها را بخواند.
اما مهندسان ایلان ماسک در یک شاهکار ضدامنیت، تصمیم گرفتهاند کلیدهای خصوصی کاربران را روی سرورهای خودِ شرکت X ذخیره کنند! این یعنی ادعای رمزنگاری سرتاسری (E2EE) در XChat عملاً یک دروغ است؛ چون هر زمان شرکت X یا نهادهای امنیتی اراده کنند، به کلیدها و چتهای شما دسترسی خواهند داشت.
۳. تحلیل اسناد تصویری و باگهای خندهدار برنامه
کارشناسان که خودش این برنامه را تست کرده، با صحنههای عجیبی مواجه شده است که در تصاویر زیر آنها را بررسی میکنیم:
تحلیل ریز امنیتی تصویر ۱ (اتاق تحلیل ۲۴ نیوز): این تصویر عمق ناشیانه بودن طراحی این پلتفرم را نشان میدهد. طبق این مستند، شما میتوانید به کاربری که اصلاً XChat را نصب یا فعال نکرده پیام بفرستید و برنامه هیچ هشداری به شما نمیدهد. بدتر اینکه وقتی آن کاربر بیچاره میخواهد پیام را باز کند، سیستم از او یک «پینکد ۴ رقمی» میخواهد؛ در حالی که کاربر هنوز اصلاً پینکدی نساخته است! تنها راه عبور، زدن گزینه «پینکد را فراموش کردهام» است که آن هم کل تاریخچه چتها را برای همیشه پاک میکند.
تحلیل ریز امنیتی تصویر ۲ (اتاق تحلیل ۲۴ نیوز):از نظر امنیتی، این تصویر یک فاجعه است. از آنجا که شرکت X کلیدهای شما را روی سرور خودش نگه میدارد، برای امنیت آنها یک پینکد ۴ رقمی برای کاربران گذاشته است. پینکد ۴ رقمی خودش به شدت در برابر حملات حدس رمز (Brute Force) ضعیف است، اما فاجعه اصلی اینجاست که XChat به هکرها ۲۰ بار فرصت حدس زدن میدهد! در علم امنیت، این مقدار فرصت یعنی هکر به راحتی و با چند تست ساده میتواند قفل چتهای کارمندان یا مدیران یک سازمان را باز کند.
۴. نتیجهگیری راهبردی ۲۴ نیوز: XChat بخریم یا نه؟
به تعبیر بسیار زیبای مجله Wired، این پلتفرم اصلاً شبیه واتساپ یا سیگنال نیست؛ بلکه بیشتر شبیه فیسبوک مسنجر است. این برنامه صرفاً برای کسانی خوب است که طرفدار افراطی ایلان ماسک هستند و کل زندگیشان در توییتر (X) میگذرد.
جمله طلایی کارشناسان امنیت بینالملل برای خروجی سایت:
🛡️ «اگر امنیت و حریم خصوصی واقعی میخواهید، از سیگنال استفاده کنید؛ اگر میخواهید با همه دنیا در بستر رمزنگاریشده در ارتباط باشید، واتساپ را انتخاب کنید؛ اما اگر کل زندگی شما وابسته به پلتفرم X است، نصب کردن XChat شاید از هیچی بهتر باشد!»
تحلیل و تنظیم فنی: تحریریه تخصصی امنیت زیرساخت ۲۴ نیوز (بهراد یوسفی)
