توییتر DM های رمزگذاری شده را برای کاربران تایید شده با اشکالات امنیتی راه اندازی می کند

پس از ماه ها صحبت در مورد آن، توییتر بالاخره موفق شد منتشر شد اولین نسخه آن از DM های رمزگذاری شده – اما چند محدودیت وجود دارد. در حال حاضر، این ویژگی فقط برای کاربران تأیید شده (مانند مشترکین آبی) یا حساب های مرتبط با سازمان های تأیید شده در دسترس است. علاوه بر این، ویژگی رمزگذاری با پیام های گروهی سازگار نیست و توییتر در برابر حملات انسان میانی محافظت نمی کند.

توییتر گفت که در حالی که رمزگذاری در همه پلتفرم ها کار می کند، گیرنده باید فرستنده را دنبال کند تا آن را فعال کند. از طرف دیگر، اگر کاربر قبلاً با فرستنده چت کرده باشد، یا درخواست DM او را پذیرفته باشد، می‌توان رمزگذاری را فعال کرد. اگر کاربران واجد شرایط یک مکالمه رمزگذاری شده باشند، فرستنده گزینه ای برای فعال کردن رمزگذاری از طریق یک جابجایی در صفحه چت جدید دریافت می کند.

اعتبار تصویر: توییتر

برای روشن کردن رمزگذاری برای یک مکالمه موجود، می‌توانید روی نماد اطلاعات در گوشه صفحه مکالمه ضربه بزنید و روی گزینه‌ای که می‌گوید «شروع یک پیام رمزگذاری‌شده» ضربه بزنید. مکالمات رمزگذاری شده متفاوت از مکالمه معمولی به نظر می رسند زیرا توییتر یک نشان قفل را روی عکس نمایه گیرنده قرار می دهد. در خود مکالمه، شرکت بنر «پیام‌ها رمزگذاری شده‌اند» را در بالا نشان می‌دهد.

اعتبار تصویر: توییتر

شبکه اجتماعی این را به وضوح در پست وبلاگ آن که چندین محدودیت برای این اجرا وجود دارد. در سطح مکالمه، توییتر فقط از رمزگذاری برای پیام های یک به یک با متن و لینک پشتیبانی می کند. توییتر گفت که رسانه ها در حال حاضر در مکالمات رمزگذاری شده پشتیبانی نمی شوند.

علاوه بر این، افراد نمی توانند از یک دستگاه جدید برای پیوستن به یک مکالمه رمزگذاری شده موجود استفاده کنند. بنابراین یا باید از همان دستگاهی استفاده کنید که با آن یک مکالمه رمزگذاری شده را شروع کرده اید یا با دریافت یک دستگاه جدید، مکالمه جدیدی را شروع کنید. کاربران در مجموع فقط می توانند از 10 دستگاه برای استفاده از ویژگی رمزگذاری استفاده کنند و هیچ راهی برای لغو ثبت یک دستگاه وجود ندارد تا جایی برای دستگاه جدید ایجاد شود.

قابل ذکر است، توییتر نصب مجدد برنامه را به عنوان ثبت یک دستگاه جدید در نظر می گیرد. توییتر گزینه پشتیبان گیری از کلید ارائه نمی دهد، به این معنی که در صورت خروج از حساب کاربری، تمام پیام های رمزگذاری شده شما در آن دستگاه پاک می شوند.

اما بخش پیچیده این است که توییتر کلیدهای خصوصی را در هنگام خروج از دستگاه حذف نمی کند – فقط پیام ها. اگر کاربران دوباره از همان دستگاه وارد شوند، می توانند مکالمات موجود را واکشی کنند. این شرکت هشدار داد که افراد نباید به دلیل این محدودیت از ویژگی رمزگذاری در دستگاه های مشترک استفاده کنند. زمانی که توییتر شروع به ارائه یک گزینه پشتیبان کلیدی کند، این ممکن است تغییر کند.

در مورد ارائه امنیتی این ویژگی نیز تردیدهای زیادی وجود دارد. مشخص نیست توییتر از چه استاندارد رمزنگاری برای این ویژگی استفاده می کند. این شرکت به تازگی گفته است که در حال استقرار “ترکیبی از طرح های رمزنگاری قوی” است. در پست وبلاگ خود صحبت در مورد ویژگی رمزگذاری

توییتر گفت که ویژگی رمزگذاری آن نیز محافظت از محرمانه بودن رو به جلو را ارائه نمی دهد، بنابراین مهاجم می تواند در صورت دسترسی به یک دستگاه در معرض خطر، به تمام مکالمات گذشته کاربر دسترسی داشته باشد. این شرکت اعلام کرد که تصمیم گرفته است این ویژگی را اجرا نکند تا به کاربران اجازه دهد به DM های رمزگذاری نشده خود در هر دستگاهی دسترسی داشته باشند.

در حال حاضر، توییتر چک امضا یا ویژگی های تأیید پیام را ارائه نمی دهد. بنابراین خود دستگاه‌ها نمی‌توانند صحت پیام را بررسی کنند و افراد نمی‌توانند از روش‌هایی مانند مقایسه رشته‌های اعداد برای تأیید حفاظت از رمزگذاری استفاده کنند.

این باعث می شود که سیستم در برابر حملات Man-in-the-Middle آسیب پذیر باشد. این بدان معناست که در صورت به خطر افتادن امنیت، مهاجم می تواند پیام های شما را بخواند. توییتر همچنین اشاره کرد که به دلیل نقص‌های طراحی فعلی می‌تواند این مکالمه را به عنوان بخشی از یک روند قانونی در اختیار مقامات قرار دهد.

این شرکت گفت: «در نتیجه، اگر شخصی – برای مثال، یک خودی مخرب یا خود توییتر در نتیجه یک فرآیند قانونی اجباری – یک مکالمه رمزگذاری شده را به خطر بیاندازد، نه فرستنده و نه گیرنده از آن مطلع نمی شوند. توییتر می خواهد چک های امضا و شماره های ایمنی را اضافه کند تا دیگر این حملات یا درخواست ها امکان پذیر نباشد.

ایلان ماسک پس از تصدی این شرکت، تمایل خود را برای “سوپرتنظیم سیگنال” با پیام‌های ارسالی توییتر ابراز کرده است. با این حال، با مجموعه محدودیت‌های فعلی، سطح حفاظتی مشابهی را که سیگنال یا سایر برنامه‌ها ارائه می‌دهند، ارائه نمی‌کند. هم سیگنال و هم واتس اپ رمزگذاری سرتاسری را برای انواع مکالمات ارائه می دهند. علاوه بر این، سیگنال هیچ ابرداده ای در مورد مخاطبین یا پیام ها ثبت نمی کند.

همانطور که ایلان ماسک گفت، وقتی صحبت از پیام‌های مستقیم به میان می‌آید، استاندارد باید این باشد که اگر کسی اسلحه را روی سر ما بگذارد، ما هنوز نمی‌توانیم به پیام‌های شما دسترسی پیدا کنیم. ما هنوز کاملاً به آنجا نرسیده ایم، اما در حال کار روی آن هستیم.» این شرکت گفت.