Telegram WhatsApp iddialarına yanıt veriyor
Telegram sözcüsü Remi Vaughn, Wired ve WhatsApp başkanı Will Cathcart'ın popüler sohbet uygulamasının güvenliği hakkındaki iddialarını çürütmek için bize ulaştı. Vaughn'a göre, Wired makalesi birçok hata içeriyor ve editör ekibi Telegram'dan gelen yorumları ve yanıtları görmezden geldi ve bu da Cathcart'ı yanılttı.
Telegram, Wired makalesinde telegra.ph'de (Telgraf'ın minimalist bir yayınlama aracı) bulabileceğiniz 9 hatanın bir listesini derledi. Gönderi "Bu liste genişletiliyor" ile sona eriyor.
Bu gönderi, konum izleme ile ilgili olanlar da dahil olmak üzere Kablolu makaledeki çeşitli iddiaları ele almaktadır - bu, yalnızca kullanıcının yalnızca %0,01'inin yaptığı konumlarını açıkça herkese açık hale getirirse mümkündür. Telegram yazıyor.
Gizli sohbetlerin gizliliğine gelince, Vaughn Cathcart'ın Telegram'ın Uçtan Uca Şifreleme (E2EE) protokolünün bağımsız olarak doğrulanmaması konusunda yanıldığına dikkat çekiyor. İtalya'nın Udine Üniversitesi'nden bir ekip, Telegram tarafından sohbetlerini güvence altına almak için kullanılan MTProto 2.0 protokolünü doğruladı - makalelerini burada bulabilirsiniz (PDF).
Bunun belirli bir uygulamadan ziyade protokolün doğrulanması olduğunu unutmayın. Ancak Telegram'ın uygulaması açık kaynaklıdır ve 5.13 sürümünden bu yana tekrarlanabilir yapılar kullanmıştır. "Üredüklenebilir yapılar", herkese açık kaynak kodunu derleyebileceğiniz ve ortaya çıkan makine kodunun Apple App Store, Google Play Store ve Telegram'ın kendi web sitesinde barındırılanla aynı olduğunu doğrulayabileceğiniz anlamına gelir. Telegram sunucuları açık kaynak değildir, ancak Udine ekibi MTProto 2.0 protokolünü kötü amaçlı sunucuların varlığında da doğruladı.
Gizli sohbetlerin güvenliğini bozabilecek bir soruna dikkat çekiyorlar - gizli bir sohbet başlatırken, kullanıcının kimlik doğrulama anahtarlarının parmak izini güvenli bir harici kanal üzerinden kontrol etmesi hayati önem taşıyor. Aksi takdirde, man-in-the-middle saldırıları mümkündür (yani mesajları dinleyen ve hatta muhtemelen değiştiren üçüncü bir taraf). Araştırmacılar, Signal uygulamasını kullanırken de böyle bir kullanıcı hatasının mümkün olduğuna dikkat çekiyor.
Bu nedenle, her iki uygulamayı da kullanıyorsanız, parmak izini doğru bir şekilde kontrol ettiğinizden emin olun - bunu yapana kadar gizli bir sohbet gerçekten gizli değildir ve parmak izinin eşleşip eşleşmediğini kontrol etmek için aynı veya diğer güvenli olmayan sohbeti kullanamazsınız.