هفته وایبر: آیا وایبر امن است

جواب کوتاه به این سوال بسیار ساده است. در اصل جواب دادن به هر سوال با الگوی «آیا فلان امن است» بسیار ساده است. جواب کوتاه، قاطع، دندان شکن و راحت به همه سوال‌های کامپیوتری به شکل «آیا X امن است» این است که «خیر» و اگر بخواهیم کمی هم توضیح بدهیم می توانیم بگوییم «خیر! در دنیای کامپیوتر و در فضای دیجیتال هیچ چیز کاملا امن نیست».

بله درست متوجه شدید. اینجا کلمه پیچاننده بحث، کاملا است. می تونیم اصولا مدعی بشیم که منظور ما هم کاملا امن نبوده بلکه می خواستیم بدونیم وایبر تا چه حد امنه. اصلا بذارید سوال رو با خط مرزهای مشخص بپرسم:

۱- وایبر در کجاها امن است
۲- وایبر در کجاها امن نیست

وایبر در کجاها امن است

وایبر برای انتقال پیام های متنی از رمزنگاری استفاده می کنه و در نسخه های جدیدتر روی بعضی سیستم عاملها اینکار رو برای پیام های تصویری و نقشه و غیره هم انجام می ده. معنی این حرف اینه که مثلا مدیر شبکه شما یا یک دزد اطلاعات که داره به خط شما گوش می ده یا آدم خبیثی که توی همون شبکه ای که شما باهاش به اینترنت وصلین حضور داره یا رییس کشوری که فکر می کنه باید کل اینترنت مردم رو شنود کنه، نمی تونه مستقیما پیام های شما رو از روی کابل های اینترنت بخونه و ببینه چی می گین – مگر اینکه بتونه رمز وایبر رو بشکنه.

از این نظر وایبر نسبت به چیزهای مهملی مثل یاهومسنجر یا یک سایت آنلاین که یک باکس چت گذاشته و چیزهای مشابه، مزیت خوبی داره و می تونین مطمئن باشین که وقتی دارین با وایبر چت می کنین، همسایه ای که پسورد وایرلس شما رو دزدیده، همکارتون که روی همون شبکه است و مسوول شبکه با اینکه می بینن شما از وایبر استفاده می کنین، نمی تونن محتوای پیام‌های شما رو بخونن. اما وایبر کجاها امن نیست؟

وایبر در کجاها امن نیست

وایبر روی تلفن شما اجرا می شه

وایبر روی تلفن شما اجرا می شه، کیبورد شما توش اطلاعات وارد می کنه و آرشیوش هم روی تلفن شما ذخیره می شه. منطقا اگر کسی به تلفن شما دسترسی (فیزیکی یا از طریق یک برنامه دزدی اطلاعات) داشته باشه، مکالمات، عکس ها و همه چیزهای دیگه نه فقط وایبر که هر چیز دیگه رو هم می بینه. این اتفاق اخیرا با لو رفتن عکس‌های اسنپ‌چت توسط یک اپلیکیشن اضافی که مردم روی موبایلشون نصب کرده بودن، صورت واقعی تری به خودش گرفته.

وایبر از طریق سرورهاش کار می کنه

وایبر چند سرور مرکزی داره که هر چیزی اول به اونجاها مخابره و بعد از اونجاها به مخاطبین فرستاده می شه – حداقل آخرین باری که من چک کردم به نظرم اینطور بود. در این وضعیت قابل پذیرش است که کل اطلاعات شما روی اون سرورها موجود باشه و اگر روزی اون سرورها به مشکل بربخورن، اطلاعات شما دیگه امن نخواهد بود. این مساله شاید دور از ذهن باشه ولی دور از ذهن‌تر از فپینینگ‌دی نیست که توش عکسهای خصوصی یکسری از هنرپیشه‌ّای مشهور از روی سرورهای آی‌کلاود اپل لو رفت.

وایبر توسط شرکتی قانونی اداره می شه که شغلش پول درآوردنه

وایبر یک شرکت خصوصی است. اوائل ترکیبی از یک شرکت آمریکایی/قبرسی/اسراییلی و این روزها خریده شده به قیمت ۹۰۰ میلیون دلار توسط یک شرکت ژاپنی. این شرکت لازمه پول در بیاره و فعلا استراتژی اصلی اش فروش استیکر است! این شرکت در هر کشوری تابع قوانین است و احتمالا اگر قانون اون کشور بهش بگه باید اطلاعات فلانی رو به ما بدین، مقاومت خاصی نمی کنه. از اونطرف شغل این شرکت در آوردن پول است و من اصلا تعجب نمی کنم اگر مثلا حکومت گواتمالا که رو الماس نشسته بره بهشون بگه «من یکمی از این الماس ها رو بهتون می دم به شرطی که اطلاعات هر کسی خواستم رو به من بدین» و اونها هم بگن «باشه ولی صداش رو در نیار». این اتفاق با توجه به هویت ژاپنی این شرکت احتمالش کمتر شده ولی هنوز هم غیر ممکن نیست.

وایبر نگفته از چه الگوریتمی استفاده می کنه

وایبر یک برنامه متن بسته است و حداقل من ندیدم جایی بگه دقیقا از چه الگوریتم رمزنگاری استفاده می کنه. حمله هایی مثل MITMA (بخصوص اگر پول کافی داشته باشین که از شرکت های مشکوک سرتیفیکیت بخرین) به خوبی می تونن علیه اش کار کنن و از اونطرف کامپیوترهای عجیب غریب که می شه با پول خریدشون هم می تونن خیلی رمزها رو بشکنن – گفته می شه حتی NSA سخت افزارهای مخصوص شکستن رمزهای مرسوم رو داره و در این چند وقت باگ های امنیتی الگوریتم های رمزگزاری هم کم نبودن.

و البته بعد از همه اینها، بحث اصلی اینه که:

جریان اون آپدیت عجیب چی بود؟

به نظر من اون لینک واقعا از شرکت وایبر بود. تماس ها نشون می داد که خود وایبر باهاش اوکی است و معتقده خودش اونو داده ولی هیچ توضیحی نمی دادن که «چرا؟!». نکته عجیب این بود که آدرس خوب bit.ly/getviber برای اون استفاده شده بود در حالی که اگر برای کشورهای دیگه هم اینکار می شد باید چیزی مثل bit.ly/getviber_persian می بود مثلا. در ضمن نقشه زیر که آمار اون صفحه است می گه تقریبا همه مراجعین این صفحه ایرانی های عزیز بوده اند:

viberdlmap

من این نسخه رو با نسخه اندروید تست نکردم ولی یکی دو نفر که تست کرده بودن بهم گفتن که شبیه هستن. منم دقیق نمی دونم این کار عجیب چی بود و ترجیح می دم همیشه فقط گوگل پلی رو داشته باشم و کل برنامه هام رو از اونجا نصب و آپدیت کنم و سراغ بازارهای متفرقه و نسخه های عجیب غریب نرم هرچند که در صورت یک توافق جذاب، گوگل پلی هم می تونه برام نسخه مخصوص ایران رو آپدیت کنه (:

برای بحث بیشتر در مورد این لینک اینجا رو هم ببینین

جمع بندی

گفتیم که هیچ برنامه کامپیوتری امن نیست و اتفاق‌های اخیر هم اینو تایید می کنن؛ از لو رفتن عکس هنرپیشه‌ها در آی کلاود تا افشا شدن عکسهای خصوصی مردم در اسنپ‌چت به خاطر نصب یک برنامه اضافی و باگ‌هایی مثل خونریزی قلبی و …

اما اینم گفتیم که وایبر در حد معقولی شما رو در مقابل یک مدیرسیستم بی اخلاق و همخونه‌ای فضول و بچه اسکریپتی توی یک کافی شاپی که نشستین حفاظت می کنه.

و در نهایت تذکر دادیم که اگر دولتی بخواد اطلاعات رو بدزده کاملا این امکان رو داره (بخصوص اگر کل اینترنت شما رو هم مال خودش بدونه) و از اونطرف هم اطلاعات شما روی کلی جای دیگه مثل سرورهای وایبر و موبایل خودتون ذخیره می شن و همیشه ممکنه لو برن یا فروخته بشن.

اما باید این رو هم اضافه کنم که «امنیت برای چی؟». اگر بحث حفظ خلوت شخصی / پرایوسی است وایبر خیلی بد نیست ولی مثلا اگر قراره کاری امن از نظر دولت‌ها‌ بکنین معلومه که حماقت باره از یک برنامه تجاری استفاده کنیم که کاملا طبیعی است طبق یک قرارداد هر مکالمه ای حاوی کلماتی مثل انفجار رو سریعا به سازمان امنیت ملی هم بفرستن یا مثلا یک کارمند ناراضی شون کل مکالمات رو یک روزی به یک تبلیغات چی بفروشه و با پولش بره کانادا پیش مفسدان اقتصادی زندگی شادی رو بگذرونه (:

  • farshad

    بسیار عالی بود،قابل توجه کسایی که عکس های خیلی شخصی شون رو با وایبر میفرستند.

  • سعید

    خود سیستم عامل اندروید امن نیست یا چون بیشتر مردم خودشون روی گوشی خودشون ویروس نصب می کنن می گن که اندروید امن نیست ؟

    • جادی

      «خود اندروید امن نیست؟» رو پاراگراف اول این متن جواب می ده‌ (: هیچ چیز کاملا امن نیست. درسته که اندروید در این لحظه باگ شناخته شده نداره ولی به هرحال یک روزی یک چیزی در هر سیستم عاملی پیدا می شه که باید با آپدیت حل بشه و ممکنه دیر آپدیت کنین. اما سناریوی معقولتر همینه که خودت گفتی: مردم چیزهایی نصب می کنن که امن نیستن. مثلا به یک برنامه مهمل اجازه می دن کل فایل ها رو بخونه و به اینترنت دسترسی داشته باشه – شاید هم اصلا «ویروس» نباشه بلکه یک برنامه با دسترسی زیاد باشه.

      از اونطرف از یک برنامه امن انتظا رمی ره که فایل هاش رو هم امن نگه داره. وایبر حتی اگر حین مخابره رمزگزاری کنه، موقع ذخیره کردن اینکار رو نمی کنه و فایل های شما در اختیار هر کسی است که یواشکی پسورد شما رو نگاه کنه و بعد موبایلتون رو برداره. روش معقولتر اینه که اصولا این فایل ها به شکل پیش فرض رو تلفن ذخیره نشن.

      • behnam

        احساس میکنم بعد از اون دوران طلایی کامپیوتر که هیپی ها و گیک ها، خودشون کامپیوتر خودشون را میساختن و استفاده میکردن، متاسفانه امروزه سطح درک مردم از این تکنولوژی از کاهو و هویج هم کمتره :-)
        با خودم فکر میکنم دقیقاً کِی مردم به این نتیجه رسیدن که کامپیوتر دوستشونه؟ شاید اگر هاکسلی میخوندن هیچ وقت برده ی کامپیوترها و در نهایت برده ی گردانندگان عالم نمی شدند!

  • ابوالفضل

    می شه بپرسم ماجرای آپدیت وایبر چی بوده؟ الان که به لینک بیت لی می رم هشدار می ده که شاید لینک به دلایل امنیتی یا ریپورت های زیاد، یا دلایل دیگه مشکل دار باشه.
    اگر برای خود وایبره، چرا معمولی آپدیت رو منتشر نکرده؟

    • جادی

      متن رو خوندی اصولا؟ (: در قسمت آخر در حد معقول نوشتم.

      • ابوالفضل

        آره خوندم، ولی یهو چطور شد که اینهمه آدم رفتند از رو این لینک وایبر نصب کردند. ببخشید اگر این رو نوشتی و من ندیدم. می رم دوباره بخونم شاید جاییش باشه :)

        • امیر

          این لینک به همراه یکسری توضیحات فارسی از طریق اکانت رسمی وایبر به بخش بزرگی از کاربرای ایرانی فرستاده شده

  • ابوالفضل

    یک چیز دیگه درباره ویدیویی که تو اون صفحه آپدیت وایبر هست. انگلیسیش یک کم غریبه، حالا شاید هم انگلیسی من مشکل داره. مثلا : tap on the completed download یا open the APK
    فکر کنم باید اینجوری باشه که tap on the downloaded file و open the APK file یا extract the APK file.

    تصویرش هم خیلی لرزش داره، یعنی وایبر کیفیت فیلم آموزشی اش یک هم اینقدر می آید پایین؟ ناخن لاک دار و مخصوصا انگشتر هم نباید توی آموزش باشه، یعنی تمرکز بر آموزش باید باشه.

    فکر کنم اون سناریویی که گفتی درست باشه که پول به وایبر دادند که این کار رو می کنیم تو هم خفه، و گرنه یا وایبر رو می بندیم به کل یا خودت رو هک می کنیم خلاص.

  • سجاد

    قضیه فروش ای پی آی دسترسی به پیام ها به دولت ها فکر کنم واقعی باشه
    به این صورت که دولت یه فیلتری تعیین میکنه و با وایبر قرارداد میبنده که اگر در فیلتری که من بهت دادم پیامی گیر کرد اطلاعاتشو کامل بهم بده

  • مکتوم

    برام عجیبه چطور به این موضوع اشاره نکردید در حالی که اطرافیان من دارن یکی یکی با این مشکل روبرو میشن. مشکل اینه: کسایی که از قدیمیایه وایبر هستن دارن یکی یکی وایبرشون رو از دست میدن. یعنی وایبر روی گوشی یا تبلتشون دیگه نمیاد که نمیاد. با نصب دوباره هم به محض اینکه همون شماره رو میدی دوباره خطا میده. برای دادن یه شماره دیگه هم باید ریست فکتوری کرد.
    اصولا این مشکل رو ندیدین؟! راهی براش پیدا شده؟ چرا من این مشکل رو دارم زیاد میبینم و توی نت هرچی میگردم چیزی نمیبینم؟

    • امیر

      اینی که گفتی به راحتی حل میشه ها
      احتمالا می دونی که وایبر فقط برای یک وسیله مستقیما پیغام میده، اضافه کردن بقیه، از طریق پیام به وایبر همون اکانت اولی هست(بخاطر صرفه جویی در هزینه ها بوده فک کنم!!)
      بعد که میخوای دوباره لوگین بشی ارور میده که برو از موبایلت پیغام تایید رو بگیر، در واقع همون گوشی رو یه وسیله دیگه شناسایی میکنه
      بعد یه گزینه کوچیک اون پایین داره، تو این مایه ها که میگی نه آقا این خودش گوشیه اصلیمه! همینجا اکانت بساز و مشکل حل میشه

  • امیر

    پست عالی بود، مرسی جادی

  • رامندی

    چرا این متن رو اینقدر خوب نوشتین؟
    خلاصه، دقیق، همه جانبه.
    ممنـــــــــــــــــــون.

  • بسیار زیبا بود . من که از وایبر چند ماهی هست که خداحافظی کردم اما عجب استیکرهای معرکه ای داشت وقتی مقایسه اش می کنم با لاین

  • آرش

    حالا جدا از همه این قضایا اگه برین تو جایی که وایبر برنامشو نصب کرده و فولدر ساخته.یه فولدر هم داره به نام عکس کاربرها که قاعدتا !!!!!!باید عکس های کاربرانی باشه که فقط من باهاشون در ارتباطم .اما در کمال تعجب عکسهایی میبینی از کاربرانی که مثلا یکی یا دو تا دوست باهات فاصله دارن.همشون هم عکس آی دی نیستند و یک سری عکسها هم که طرف برای دوستم فرستاده به صورت شخصی تو موبایل من هست.اینش دیگه خعلی جالبه

  • سلام….
    من یه مشکلی دارم و اونم اینه که هر وقت با گوگل پلی برنامه هام رو اپدیت میکنم، واسه 90 درصدشون دوباره بازار اپدیت میده!! که خوب قطعا من اپدیت نمی‌کنم….

    خیلی وقته که تصمیم داشتم یه چند دقیقه وقت بذارم و با وایرشارک و نصب شبیه سازها و غیره‌ی اندروید، یه تست بزنم ببینم این بازار داره چیکار میکنه!!

    خودم شخصا فکر میکنم که احتمالا دستکاری کرده باشن برنامه رو و اطلاعات رو شنود بکنن یا هر چی…

    البته تئوری ضعیفی هست! ولی اینکه هر بار که نسخه‌ی اصلی اپدیت میشه اینا یه اپدیت جدید تر واسش میدن همیشه برام جای تعجب داشته!! امیدوارم کسی که حسش رو داره و مثل من نیست که تصمیم میگیره یه کاری بکنه ولی حوصله‌اش نمیشه انجامش بده، بره و این مسئله رو بررسی بکنه ببینیم بازار ایا داره موش میدوونه این وسط یا نه! :)

    (کاری به خود وایبر و نسخه‌های مختلفش که میگیریم و اینا هم ندارم!)

  • نگران

    جادی جان تو میگی وایبر از رمزنگاری استفاده میکنه و برای دولتها قابل شنود نیست ولی یه آقایی که به حرفاش میخوره توی مرکز فیلترینگ کشور کار کنه تلویحا داره میگه که ممکنه ما پروتکلهای امن رمزنگاری رو بسته باشیم برای همین وایبر برای حفظ بقاش مجبوره روی پروتکلهای غیرامن بدون رمزنگاری سوئیچ کنه که در اونصورت ما میتونیم همه حرفاتون رو بخونیم! ضمنا این آقا شنود دولتی رو هم کاملا “طبیعی” میدونه!
    http://www.khabaronline.ir/detail/375774

    • یازدهم؟

      you قسم بخور no speak

    • او

      من اصلا وایبر استفاده نمیکنم ولی الان برای واتساپ تست کردم ssl هست.
      پس الکی گفته (: بعدش مطمئن باش اینا اگه بتونن اینکارو کنن هیچ وقت نمیان به همه بگن!

  • سجاد

    البته الان در دورانی داریم زندگی میکنیم که اگر بگن شنود نمیشه یه عده میان بیرون و اعتراض که چرا آرمان ها رو میخواید نابود کنید. این چه وضعیست. باید پیام ها شنود شود. اصلا باید جک امام ساخت که هرکس فوروارد کرد دستگیرش کنیم. چرا اصلا سفارت داریم. چرا دانشگاه ها مختلته! ایران جای زندگی نیست باید به داعش پیوست!!!
    داریما همچین آدمایی! با چشم خودم دیدم!!

  • من از کوردستان

    سلام جادی جان
    پس با ین حساب کدوم اپلیکیشن جایگزین رو پیشنهاد میدی ؟

  • ممنون جادی عزیز بابت این پست…
    خدمت دوستان عرض کنم که دنیای اندروید انقدر ساده است که هر برنامه نویس میتونه با چند قطعه کد تمام گوشی شما و نرمافزار های شما رو تحت کنترل بگیره…
    پس خواهشن از نصب نرمافزار هایی کرک یا اپ استور هایی غیر از گوگل پلی چیزی دریافت نکنید…
    تذکر : خود اپ های فروشگاه ها نیز میتونن جنبه جاسوسی داشته باشن…

  • Shevin

    نمیدونم چه گیریه همه میپرسن امنه؟ امن نیست؟!
    کلا در هرمورد میپرسن هرچیم بگی امنیتی که شما میگی نچ نداریم باز گیر میدن!
    مطلبت خوب بود جادی منم دیگه توضیح نمیدم هرکی هرچی بپرسه چه وایبر چه هرچی آدرس این مطلبتو میدم:) والاه
    کاش کمی بیشتر تو جا انداختن آزادی نرم افزار تلاش کنیم حداقل در حد جا انداختن خود نرم افزاراش، قکر کنم اگه تو جامعه این جوری جا بیوفته کمتر کسی اطلاعاتشو رو هوا میفرسته بره!

  • مطلب جالبی بود
    من که خودم همیشه به شبکه های اجتماعی به عنوان یک ابزار نگاه میکنم ولی متاسفانه این روزا وایبر و دیگر اَپ ها سهم بزرگی از اوقات مردم مارو پر کردن و از شیر مرغ تا جوون آدمیزاد توشون بحث میشه

  • Pingback: هفته وایبر: آیا وایبر فیلتر می شه؟ | کیبرد آزاد()

  • amir hossein

    به نظر من کسی که اطلاعات محرمانه و یا خصوصیش رو تو جاهایی که شخص سوم رابطه؛به اشتراک میذاره یه ادم احمق ه
    خب دوست عزیز اون شخص سوم که عاشق چشم و ابروی شما نیست که اطلاعاتتون رو در هر شرایطی نگه داره

  • علی

    سلام جادی جان،

    این متن مکاتبه‌ی من با مدیر بخش پشتیبانی وایبر سر همین قضیه‌ی عجیب :) حدست رو تایید می‌کنه و می‌تونی به قطع بگی که متن از طرف خود وایبر فرستاده شده است.

    ارادتمند
    علی

    OCT 06, 2014 | 11:23AM IDT
    Moty R replied:

    Ali,
    I can’t elaborate on the security enhancement, i can only say that it was not released due to any security breach we found it is general enhancement to our security infrastructure.
    With regard to the link, currently Google play have the same version as the one in the link. we are providing that link cause some Iranian users can not access Google play.

    let me know if you have additional questions.
    Regards,
    Moty Rokach
    Head of Viber Support
    OCT 05, 2014 | 04:40PM IDT
    Ali replied:
    Dear Moty,

    Thanks for your reply.

    We are going to check the sticks if these are free to use or not. And recheck the security updates which Viber twitter account mentioned in response to our friend (Amir Rashidi) and what you mentioned in your email. As you may visited our website we are working on privacy violation and security issues among Iranian activists.

    I specifically like to know the exact security updates in that version. The specific question of Iran Security Team is that why these security updates were just applied for Iranian users.

    Anyway, we have a meeting with our friends in EFF, Privacy Innovation, NetLab, Article 19, DDP and other guys to examine it again. We will be glad if you respond us as soon and specifically tell what you add and why.

    Regards,
    Ali
    CEO of Iran Security Team
    OCT 05, 2014 | 10:33AM IDT
    Moty R replied:

    Hi Ali,
    Sorry for the late response.
    with regard to your questions:
    1. We enabled most of our stickers packages to be downloaded for free for Iran users. I haven’t counted them one by one but I estimate there are even more than 2000 free stickers. All you need to do is go to the sticker market, choose the non-branded packages and you’ll be able to download the package for free.
    2. We did enhance our security, we prefer not to elaborate on the actual changes but i can say that the update was done to improve connectivity security and was done mainly at our servers side

    if you have any additional question please let me know.
    Regards,
    Moty Rokach
    Head of Viber Support
    OCT 03, 2014 | 01:31PM IDT
    Original message
    Ali wrote:

    Hi,

    I am a security specialist and editor at Radio Zamaneh news agency. According to your colleague tweet, I’m opening a ticket and waiting for your OFFICIAL response.

    I’d like to know what kind of “security updates” have you added to 5.0.2.9 version?
    Moreover, I’ll appreciate Viber if you tell how can people access to these “2000 free stickers”?

    I like to inform you that our comparison between 5.0.2.7 and 5.0.2.9 shows Viber has only changed the issue track number and version.

    I wrote an report on radiozamaneh.com about this happening and accuse Viber of fraud. I’ll update the report if you answer my question.

    I look forward to hearing from you.

    Regards,
    Ali