پیام رسان سروش یکی از پیام رسان‌های ملی است که بعد از بحث فیلترینگ پیام رسان‌های خارجی به یکی از گزینه‌های پیش‌رو برای مهاجرت کاربران تبدیل شد. به دنبال این ماجرا شایعات بسیاری در خصوص امنیت این پیام رسان منتشر شد که به بررسی این شایعات و البته یک باگ رفع شده در سروش می‌پردازیم.

باگ‌های امنیتی و شایعات درباره پیام رسان سروش

1- بدست آوردن شماره ادمین کانال‌ها در پیام رسان سروش

پس از گذشت مدتی مشخص شد که در این پیام رسان باگ امنیتی وجود داشته است که به واسطه آن به راحتی می‌توان شماره ادمین کانال‌ها را بدست آورد. برای اولین بار این باگ امنیتی با انتشار شماره وزیر ارتباطات و فناوری اطلاعات، محمد جواد آذری جهرمی مشخص شد.

برای نخستین بار میلاد نوری، یکی از کارشناسان فناوری اطلاعات که در کانال شخصی خود در تلگرام این دست باگ‌ها را بررسی می‌کند، وجود این باگ امنیتی در پیان رسان سروش را خبر داد.

پیشنهاد فیسیت : وزیر ارتباطات، اولین قربانی افشای اطلاعات خصوصی در پیام رسان سروش شد

2- عکس گرفتن از کاربر به محض باز کردن پیام رسان سروش

بعد از این ماجرا شاهد انتشار ویدیویی در شبکه‌های اجتماعی بودیم که گفته می‌شد به محض باز کردن پیام رسان سروش از کاربر عکس برداری می‌شود. اگر به دقت به تصویر منتشر شده توجه کنید می‌بینید که پیام از نوع GET است. به این معنا که کاربر در حال دریافت یک تصویر از سرور است و نه ارسال تصویر به سرور. بنابراین این ادعا کامل دروغ بوده است.

عکس گرفتن از کاربر به محض باز کردن پیام رسان سروش

نظر میلاد نوری درباره مسئله ارسال تصویر به سرور سروش 

3- ذخیره مک آدرس در پیام رسان سروش

بار دیگر از روز گذشته تصاویری در کانال‌های تلگرامی دست به دست می‌شود که از ذخیره مک آدرس دستگاه توسط پیام رسان سروش خبر می‌دهد.

باید بگوییم این ادعا هم یکی از شایعات کذب در خصوص پیام رسان سروش است. به گفته میلاد نوری این تصویر مربوط به ذخیره مک آدرس روی رجیستری سیستم عامل ویندوز و مربوط به نسخه دسکتاپ این پیام رسان است.

ذخیره مک آدرس در پیام رسان سروش

مک آدرس چیست

مک آدرس (mac address) که مخفف واژه media access control address است، شناسه‌ای 48 بیتی و یکتا است که به کارت شبکه هر دستگاه اختصاص می‌یابد. 24 بیت اول سازنده دستگاه را مشخص می‌کند و 24 بیت دوم مشخصه خود دستگاه است.

این آدرس همان طور که قبلا هم اشاره کردیم باید منحصر به فرد باشد اما با استفاده از نرم‌افزارهایی می‌توان آدرس فیزیکی دستگاه یا همان مک آدرس دستگاه را تغییر داد.

میلاد نوری درباره ذخیره شدن مک آدرس دستگاه در رجیستری ویندوز توضیح داده است:

ذخیره و ارسال مک آدرس کاربر به سرور در اپلیکیشن‌ها مساله دارای نگرانی نیست و در مورد تصویر منتشر شده لازم است به این سه نکته دقت کنید:

۱- اگر قرار باشد یک نرم افزار مک آدرس شما را به سرور خود ارسال کند، بدون ذخیره کردن آن در رجیستری و ... هم می‌تواند این ارسال را انجام دهد.

۲- حدس من این است که اپلیکیشن‌های مشابه سروش احتمالا به جهت نماش نشست‌های فعال (session) اکانت شما از این آدرس استفاده می‌کنند. به فرض شما با دو لپ تاپ با مشخصات کاملا یکسان وارد حساب خود شده باشید، از این طریق می‌توانند این دو دستگاه را به عنوان دو دستگاه مجزا در لیست نشست‌های فعال در تنظیمات به شما نمایش دهند (مشابه تلگرام).

۳- یکی از دلایل ذخیره این آدرس نیز می‌تواند این باشد که اگر کاربر با ابزارهای خاص اقدام به تغییر مک آدرس خود کرد، نرم افزار دستگاه، وی را به عنوان یک نشست جدید شناسایی نکند و از همان مک آدرس ذخیره شده اولیه استفاده کند.

نتیجه: تصویر منتشر شده هیچ فعالیت غیرعادی را نشان نمی‌دهد و ارسال و استفاده از مک آدرس یک سیستم در عملکرد یک نرم افزار اتفاق عجیبی نیست.

اگرچه ممکن است پیام رسان ملی سروش دارای مشکلاتی چه از نظر ظاهری و چه از نظر امنیتی باشد اما انتشار تصاویر و اخباری کذب آن هم با هدف قرار دادن جامعه بزرگی از افرادی که اطلاعات تخصصی در حوزه کامپیوتر ندارند، مسلما درست نیست و باعث ایجاد بی‌اعتمادی در بین مردم خواهد شد.

برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید.