امنیت پیام‌رسان سروش در هاله‌ای از ابهام، آیا تمام باگ‌ها برطرف می‌شوند؟

دیروز یکی از کارشناسان فنی کشورمان در توییتر از باگی درون پیام‌رسان سروش خبر داد که به موجب آن شماره کاربران اعضای یک گروه و یا ادمین‌ها قابل مشاهده است. این باگ نرم‌افزاری که به گفته وزیر ارتباطات پیش‌تر هم در این برنامه مشاهده شده قرار بوده حل و فصل بشود ولی تا افشا شدن موضوع به‌طور علنی و پرداختن رسانه‌ها به آن خبری از درست شدن آن نبود. اینجاست که این سوال پیش‌می‌آید که آیا تمام باگ‌های این نرم‌افزار و موارد مشابه‌ دیگر توسط کارشناسان اهل فن کشف شده و برای رفع آنها اقدامی شده است؟

وزیر ارتباطات کشورمان بعد از واکنش‌های زیادی که به مشکل پیام‌رسان سروش شد توییتی در صفحه شخصی خود نوشته که در آن تاکید کرده برای موفقیت یک برنامه، ارزیابی آن در چنین مواردی ضروریست. به گفته «محمدجواد آذری جهرمی» هر سامانه‌ای بعد از عرضه باید مورد ارزیابی کارشناسان واقع شود و مشکلات ریز و درشت آن یافت شود، او حتی پیشنهاد کرده که جوایزی برای مشکلات موجود در برنامه برای کارشناسان اهل فن گذاشته شود تا آنها تشویق به ایرادیابی برنامه و در نتیجه قوی‌تر شدن نرم‌افزارها و اپلیکیشن‌ها شوند.

«مهدی واعظی»، کارشناس امنیت اطلاعات در گفتگو با دیجیاتو ضمن تایید باگ موجود در این برنامه آن را فاجعه‌بار خواند و اعتقاد دارد که درست شدن این باگ صرفا حل کردن بخشی از مشکلات موجود در برنامه است و باید نقص‌های داخل برنامه‌نویسی این پیام‌رسان کامل‌تر بررسی شوند:

«برنامه‌نویسی این پیام‌رسان ضعیف است و مشخص است که افراد با تجربه نه‌چندان بالایی این کار را انجام داده‌اند که خود این مساله عجیب است چرا که بارها از دست‌اندرکاران این برنامه شنیدیم که به دنبال بهترین تیم‌ها و قوی‌ترین‌ها هستند. نشتی‌هایی که در برنامه وجود دارد اصلا کم نیستند و این موضوع افشا شدن شماره تلفن هرچند برخلاف تصور برخی عموم هک شدن به حساب نمی‌آید اما باگ بزرگیست.»

تصویری که دیروز در توییتر منتشر شد و باگ پیام‌رسان سروش را نشان می‌داد

به گفته واعظی زمانی که کاربر برنامه سروش را باز می کند، مشخصات کاربرانی که برایش پیام فرستادند را در یک فایل دیتابیس ذخیره می‌کند که به موجب آن فایل می‌توان به شماره‌ تلفن‌ها دسترسی پیدا کرد:

«این فایل دیتابیس به دلیل اشتباه کدنویس مجاز هست که شماره تلفن کاربر هم از سرور بگیرد در حالی که در نمونه خارجی آن مثل تلگرام این دیتابیس فقط نام کاربری افراد را نشان می‌دهد و بس. از طریق این دیتابیس می توان تمام شماره ها رو استخراج کرد و از آن سواستفاده‌های زیادی نمود. این مسأله برای مراکز دولتی و دولتمردان که سهم بیشتر یوزرهای این پیام‌رسان را تشکیل می‌دهد بسیار فاجعه‌آمیز است.»

او به دست آوردن شماره افراد را مستلزم چت‌کردن و ایجاد یک ارتباط با آنها در محیط این برنامه عنوان می‌کند و می‌گوید از آنجا که سروش مثل تلگرام قابلیت جستجوی نام کاربری افراد را ندارد باید با فرد مکالمه کرد تا بتوان به شماره تلفن او دست یافت.

تصاویری از شماره اعضای داخل گروه ورزش 3

«میلاد نوری» توسعه‌دهنده‌ای که این موضوع را در توییتر برملا ساخته بود نیز در همین شبکه اجتماعی سلسله‌ توییت‌هایی درباره استفاده از برنامه‌های ایرانی کرده که لحن نسبتا تند و دلسوزانه‌ای دارد:

«حمایت از اپلیکیشن ایرانی هم معنیش این نیست از هر مزخرفی حمایت کنیم. پیام‌رسان ایرانی ابتدایی ترین مسایل امنیتی رو رعایت نکرده. بعد انتظار دارن همه ازش حمایت کنن. مزخرف، مزخرفه چه ایرانی چه خارجی. اپ خوب هم خوبه. چه ایرانی چه خارجی.

کسی نگفته ایرانی‌ها بلد نیستن یک اپلیکیشن با کیفیت تلگرام تولید کنن. بلکه مدیران و تصمیم‌گیران بلد نیستن کار رو به افرادی که باید بسپارن. همیشه فقط یک رانت مالی/رسانه‌ای رو در اختیار یکسری افراد قرار دادن که خروجیش مشخص بوده. سیستم عامل ملی. پیام رسان ملی و …»

کاربران دیگری مشکلات دیگر این پیام‌رسان را نیز توییت کرده‌اند که احتمالا کم کم همگی توسط تیم سروش رفع شوند

گرچه توسعه‌دهندگان پیام‌رسان سروش مشکل خود را پذیرفته و آن را در آپدیت بعدی برنامه رفع کرده و از مردم هم عذرخواهی کرده‌اند با این حال به نظر می‌رسد که تعداد این باگ‌ها در تحقیقات بعدی بیشتر باشد و محدود به این برنامه پیام‌رسان نشود. این مسائل دغدغه کاربران را نسبت به پیام‌رسان‌های داخلی که به گفته مسئولین می‌توانند جایگزین تلگرام و موارد مشابه بین‌المللی دیگر در کشور باشد بیشتر می‌کند و رسیدگی به آنها از ضرورت‌هاییست که قبل از هر اقدامی باید صورت گیرد.