בשבוע שעבר טענו גורמים בהונג-קונג כי חשפו פרצת אבטחה חמורה בטלגרם (Telegram). לדבריהם, האפליקציה מאפשרת לכאורה למשתמשים למנוע מזרים לראות את מספר הטלפון שלהם כדי להגן על פרטיותם, אך בפועל קל מאוד לעקוף את המגבלה ולגלות את מספרי הטלפון של כל המשתמשים הפעילים בקבוצת מחאה, לדוגמה.
הטענה מבוססת על אפשרות בהגדרות הפרטיות של טלגרם, הקובעת את נראות מספר הטלפון של המשתמש. ניתן לבחור שם שהמספר יוצג לכולם, לאנשי הקשר של המשתמש בלבד או לאף אחד.
“ידענו שהגדרת פרטיות מספר הטלפון ל’אנשי קשר’ מאפשר לאנשי הקשר שלכם לראות את המספר שלכם, ולכן פעילים הנחו תמיד את האנשים להגדיר את (פרטיות מספר הטלפון) ל’אף אחד’, בציפייה שזה יסתיר את מספר הטלפון בקבוצות ציבוריות”, אמרה צ’וּ קה-צ’וֹנג, מנהלת סניף הונג-קונג של ארגון אמריקאי שפועל למען אינטרנט חופשי, לאתר ZDNet. “עד היום לא היינו מודעים לכך שההגדרה ‘אף אחד’ עדיין מאפשרת למשתמשים ששמרו את מספר הטלפון שלכם בספר הכתובות שלהם להתאים בין מספרי טלפון לחברים בקבוצות ציבוריות. זה הפתיע כל אחד מאיתנו”.
ה”פרצה” תמיד הייתה
אלא שבאפליקציה כתוב במפורש, ממש מתחת לאותה הגדרה, כי “משתמשים שהמספר שלכם שמור באנשי הקשר שלהם יראו אותו בטלגרם”. במלים אחרות: ההגדרה חלה רק על משתמשים באפליקציה שמספר הטלפון של המשתמש אינו שמור אצלם, וההגדרה “אנשי קשר” חושפת את המספר בפני אנשים השמורים אצל המשתמש אך הוא לא שמור אצלם.
גורמי המחאה בהונג-קונג הדגימו איך הדבר יכול לשמש את הממשלה להתנכל למפגינים על ידי יצירת בוט שבו נשמרו אלפי מספרי טלפון והצגת תמונות מסך שמראות כי גם משתמשים בקבוצת מחאה שבחרו להסתיר את מספר הטלפון שלהם מספריהם הוצגו בפני אותו בוט.
בתגובה מסרה טלגרם ל-ZDNet כי “יש לנו אמצעים למניעת ייבוא של אנשי קשר רבים מדי – בדיוק כדי למנוע את התרחיש (הזה). למעשה, המידע שלנו מראה כי שהבוט שמוצג בצילומי המסך (שותפו בפורום הונג-קונגי) נחסם מייבוא אנשי קשר נוספים לאחר 2 שניות בלבד – והצליח לייבא רק 85 אנשי קשר, ולא 10,000. לאחר שאתה נחסם מייבוא אנשי קשר, אתה יכול להוסיף רק 5 מספרים ביום. שאר אנשי הקשר שלך ייראו כאילו אינם משתמשים בטלגרם – גם אם הם כן”.
לא רק בטלגרם
טלגרם אינה האפליקציה היחידה שה”פרצה” הזו קיימת בה: וואטסאפ (WhatsApp) מציגה את כל מספרי הטלפון של המשתמשים בקבוצה לכל משתמש אחר בה ללא קשר להגדרת פרטיות כלשהיא, ואפילו Signal, הנחשבת מאובטחת ופרטית יותר משתי הקודמות, חושפת את מספרי הטלפון של משתתפים בקבוצות.
אמנם, יש גם אפליקציות שאינן מחזיקות כלל במספרי הטלפון של המשתמשים, כמו Wire, Wickr, RiotChat ו-Matrix.org, אך לדברי המפגינים בהונג-קונג חסרה בהן התמיכה של טלגרם בקבוצות ענק של אלפי אנשים. לכן, הם לא מציעים לאנשים להפסיק להשתמש בטלגרם, אלא להתחבר מטלפונים עם כרטיסי SIM משולמים מראש (pre-paid), שאינם מקושרים לפרטי המשתמש. כך, הממשלה תתקשה מאוד לזהות את המשתמשים גם אם תוכל לראות את מספרי הטלפון שלהם.