Telegram แอพแชทปลอดภัยจริงไหม?

Telegram ปลอดภัยจริงไหม? อะไรที่ผู้ใช้ต้องระวังเพื่อไม่ให้ข้อมูลรั่วไหล

“ความเป็นส่วนตัวนั้นไม่ได้มีไว้ขายและสิทธิมนุษยชนไม่ควรถูกล่วงเกินเพราะความกลัวหรือความละโมบ”

– Pavel Durov (Co-Founder ของ Telegram ทวีตเมื่อวันที่ 13 เมษายน 2018)

 

วันที่ 19 ตุลาคม คำว่า ‘Telegram’ ขึ้นติดเทรนด์ของคำที่ค้นหากันมากที่สุดบน Google อย่างรวดเร็ว ทันทีที่แอคเคาท์ทวิตเตอร์ศูนย์ทนายความเพื่อสิทธิมนุษยชน (TLHR) เผยแพร่ภาพถ่ายหน้าเอกสารลับของกระทรวงดิจิทัล พร้อมด้วยคำสั่งของผบ.ตร. ฉบับหนึ่งกรณีการขอความร่วมมือให้ผู้ให้บริการอินเทอร์เน็ตและผู้ให้บริการเครือข่ายมือถือระงับการใช้แอพพลิเคชั่น ‘Telegram’ ในประเทศไทย จนถูกแชร์กันบนโลกโซเชียลมีเดีย

สำหรับใครก็ตามที่ติดตามข่าวสารอยู่เวลานี้คงจะพอเห็นการเคลื่อนไหวประท้วงในช่วงหลายอาทิตย์ที่ผ่านมา โดยนอกจากข่าวการประท้วงและการเคลื่อนไหวในแต่ละวัน ก็จะมีชื่อของแอพ Telegram (เทเลแกรม) ที่มีจุดขายเรื่อง ‘ความปลอดภัยและความเป็นส่วนตัว’ และชื่อเสียงของมันที่ถูกใช้โดยกลุ่มผู้ประท้วงในรัสเซีย อิหร่าน เบลารุส และ ฮ่องกง ถูกพูดถึงมากขึ้นเรื่อยๆ จนตอนนี้มันกลายเป็นช่องทางสื่อสารสำคัญในหมู่ผู้ชุมนุมที่ได้รับความนิยมเป็นอย่างมาก แต่ก็มีข่าวเรื่องที่ทางเจ้าหน้าที่รัฐ กำลังจับตาแอพ นี้อยู่ด้วยเช่นเดียวกัน

ถ้าย้อนกลับไปดูความเป็นมาของแอพพลิเคชั่นตัวนี้จะพอทราบดีถึงสาเหตุที่ทำไมมันถึงได้กลายเป็นช่องทางการสื่อสารที่ผู้เข้าร่วมการชุมนุมประท้วงถึงเลือกใช้

Telegram ก่อตั้งในปีค.ศ. 2013 โดยสองพี่น้องชาวรัสเซีย นิโคไล และ พาเวล ดูรอฟ (Nikolai & Pavel Durov) ซึ่งทั้งสองคนนี้เป็นเบื้องหลังผู้ก่อตั้งโซเชียลมีเดียขนาดใหญ่ที่ถูกขนานนามว่าเฟซบุ๊กรัสเซียชื่อ ‘VK’ (VKontakte) อีกที โดยในตอนนั้น VK ถูกใช้งานโดยกลุ่มผู้ประท้วง ซึ่งรัฐบาลรัสเซียก็บีบให้พวกเขาขาย VK อย่างไม่เต็มใจนัก แต่หลังจากนั้นไม่นานทั้งคู่ก็ตัดสินใจย้ายออกจากรัสเซีย นำเงินที่ได้จากการขาย VK ไปสร้าง Telegram ที่กรุงเบอร์ลิน ประเทศเยอรมันแทน พาเวลให้สัมภาษณ์กับ TechCrunch ว่า

“เหตุผลแรกสำหรับผมที่สนับสนุนและช่วยกันสร้าง Telegram

คือทำให้มันเป็นตัวกลางในการสื่อสารที่แม้แต่รัฐบาลของรัสเซีย

ก็ไม่สามารถแตะต้องได้”

Telegram ถูกสร้างขึ้นมาบนพื้นฐานและความเชื่อเรื่องความเป็นส่วนตัวและสิทธิมนุษยชน เป็นแอพพลิเคชั่นแชตเข้ารหัสแบบ End-To-End Encryption (ในฟีเจอร์ Secret Chats) ที่โฟกัสเรื่องความปลอดภัย และการแพร่ข้อมูลถึงคนจำนวนมากๆ ได้อย่างรวดเร็ว (กรุ๊ปมีสมาชิกสูงสุดได้กว่า 2 แสนราย) ซึ่งผู้ร่วมก่อตั้งก็แสดงให้เห็นหลายครั้งว่าถึงแม้รัฐบาลของหลายๆ ประเทศจะพยายามขอร้องแกมบังคับ (หลายประเทศพยายามแบน รวมถึงข่าวที่เกิดขึ้นในไทยเราด้วย) ให้พวกเขาร่วมมือและแชร์ข้อมูลต่างๆ แต่พวกเขาก็ไม่ได้มีการเปิดเผยข้อมูลของผู้ใช้งานให้กับภายนอกเลยแม้แต่น้อย

แต่แปลว่าแอพนี้ปลอดภัยจริงๆ รึเปล่า?

ย้อนกลับไปเมื่อประมาณสองปีก่อนรัสเซียพยายามแบน Telegram เพราะไม่ยอมแชร์กุญแจการเข้ารหัสข้อมูล ด้วยการแบนผ่านรหัส IP ที่ตัว Telegram ใช้งาน แต่วิธีนี้ใช้ไม่ค่อยได้ผลนักเพราะ Telegram ใช้เทคโนโลยีที่เรียกว่า Domain Fronting ที่ใช้ตัวเซิร์ฟเวอร์ของ Google และ Amazon ในการซ่อนรหัส IP ในการเชื่อมต่อ จึงทำให้รัฐบาลรัสเซียไม่สามารถระบุ IP ที่แน่นอนของ Telegram ได้ และเมื่อแบนผิด IP ก็ส่งผลให้บริการของ Google และ Amazon บางอย่างเกิดการขัดข้อง สร้างผลกระทบกับผู้ใช้งานและธุรกิจจำนวนมากในประเทศ

จนสุดท้ายหลังจากที่ความพยายามไม่เป็นผลสำเร็จเท่าไหร่นัก รัฐบาลรัสเซียก็ตัดสินใจยกเลิกการแบน Telegram ในช่วงกลางปีค.ศ. 2020 โดยอ้างเหตุผลว่าตอนนี้ทาง Telegram ได้ให้ความร่วมมือในการคัดกรองจัดการและลบกลุ่มผู้ประท้วงหัวรุนแรงและผู้ก่อการร้ายออกจากระบบได้อย่างมีประสิทธิภาพ จึงไม่จำเป็นต้องแบน Telegram อีกต่อไป

ในเอกสารที่เผยแพร่ออกมา กระทรวงดิจิทัลอ้างว่าการใช้ Telegram เป็นการยุยงให้เกิดความไม่สงบเรียบร้อย เข้าข่ายความผิดตามมาตรา 9 ประกอบมาตรา 11 ของ พ.ร.ก. ฉุกเฉิน โดยกระทรวงดิจิทัลขอให้ กสทช. ไปขอความร่วมมือกับผู้ให้บริการอินเทอร์เน็ตและเครือข่ายมือถือบล็อกการเข้าถึงไอพีแอดเดรสของ Telegram ตามที่แนบมากับเอกสารลับ ซึ่งเรื่องนี้กลายเป็นประเด็นที่หลายต่อหลายคนนำไปโพสต์แชร์ว่าขนาดรัสเซีย จีน หรือ อิหร่านยังแบนไม่ได้ นับประสาอะไรกับบ้านเราซึ่งความจริงแล้วมันก็ไม่ได้ถึงกับบล็อคไม่ได้ซะทีเดียว เพียงแต่ว่า หลายบริการ ธุรกิจออนไลน์ต่างๆ อาจจะล่มไปด้วยจนทำให้เกิดผลกระทบเป็นวงกว้างมากกว่าที่คิด

และถึงแม้ว่ารัฐบาลไทยจะตัดสินใจแบน Telegram อย่างที่รัสเซียทำ ผู้ใช้งานก็ยังสามารถใช้ VPN (Virtual Private Network ซึ่งเป็นการเข้ารหัส traffic ที่ส่งผ่านอินเทอร์เน็ต ไม่ให้ ISP ในไทยทราบว่าเรากำลังทำอะไรอยู่ และไม่สามารถบล็อค traffic ที่เราส่งไปยังเซิร์ฟเวอร์ Telegram ได้) และ sock5 proxy เพื่อหลบบล็อคเหมือนอย่างที่ชาวรัสเซียทำจนการแบน Telegram แทบไม่มีผลกระทบต่อการใช้งานเลย (แนะนำให้อ่านบทความนี้ ถ้าเกิดว่าเกิดการแบนและต้องใช้ VPN จริงๆ)

นอกจากการแบน Telegram ในรัสเซียแล้ว ยังมีอีกเหตุการณ์หนึ่งที่ Telegram ถูกโจมตี DDoS ครั้งใหญ่ (distributed denial-of-service เกิดขึ้นเมื่อแฮ็กเกอร์ส่งปริมาณการเข้าชมจำนวนมากไปยังเครือข่ายหรือเซิร์ฟเวอร์เพื่อล้มล้างระบบและขัดขวางความสามารถในการให้บริการ) ส่งผลกระทบต่อผู้ใช้ในหลายประเทศที่อาจเชื่อมต่อกับ Telegram ไม่ได้ ซึ่งเป็นเวลาที่ใกล้เคียงกับเหตุการณ์ประท้วงในฮ่องกง แต่พาเวลก็ไม่ได้ยืนยันว่าการโจมตี DDoS มีส่วนเกี่ยวข้องกับรัฐบาลจีนแม้ว่าทราฟฟิกเหล่านี้มาจากประเทศจีนก็ตามที

อีกเรื่องหนึ่งที่ควรกล่าวถึงคือ Telegram นั้น

มีฟีเจอร์ที่เรียกว่า ‘Secret Chats’ ที่เป็นแชต

เข้ารหัสแบบ End-To-End Encryption

ซึ่งจะทำให้บทสนทนาเป็นความลับ ไม่มีใครล่วงรู้ได้ยกเว้นผู้ส่งและผู้รับเท่านั้น ซึ่งการใช้งาน Secret Chats จะต้องได้รับการยินยอมจากผู้ใช้งานทั้งสองฝ่ายก่อน หลังจากนั้นบทสนทนาจะถูกเข้ารหัส ไม่ปรากฎบนเซิร์ฟเวอร์เหมือนอย่างแชททั่วไป ยังไม่พอ ผู้ใช้งานสามารถตั้งเวลาที่จะทำลายข้อความเหล่านั้นได้ด้วย สิ่งหนึ่งที่ควรต้องพึงระวังก็คือว่าฟีเจอร์นี้จะไม่ได้ถูกเปิดใช้โดยอัตโนมัติ การแชทแบบธรรมดากับการแชทแบบกลุ่มนั้นข้อความทั้งหมดของคุณจะถูกเก็บไว้บน Cloud กุญแจเข้าสู่รหัสเก็บไว้กับตัวคุณ คนในกลุ่ม แล้วก็ Telegram ตรงนี้แน่นอนว่าในการสนทนาแบบทั่วไปหรือแบบกลุ่ม Telegram แฮ็กเกอร์หรือรัฐสามารถอ่านข้อความของเราได้ ‘ถ้าต้องการ’

คำถามต่อมาตรงนี้ก็คือว่าถ้ารัฐบาลบังคับให้ Telegram เอาข้อมูลตรงนี้มาให้จะเกิดอะไรขึ้น? แน่นอนว่า Telegram ผ่านเหตุการณ์แบบนี้มาแล้วกับรัฐบาลรัสเซียและอีกหลายที่ พวกเขาเลือกที่จะไม่ทำตามคำสั่งนั้น ยกเว้นแต่ว่าเป็นกลุ่มที่ส่งเสริมความรุนแรงหรือผู้ก่อการร้าย ทาง Telegram ก็จะลบข้อมูลเหล่านั้นไปเลย แต่ว่าถ้า ‘จำเป็น’ ต้องทำจริงๆ จะเกิดอะไรขึ้น? Telegram ป้องกันเหตุการณ์แบบนี้โดยกระจายข้อมูลไว้ในเซิร์ฟเวอร์ต่างๆ ทั่วโลก เพราะฉะนั้นมันเป็นไปได้ยากมากที่รัฐบาล (ไหนก็ตาม) จะบังคับให้ Telegram เอาข้อมูลทั้งหมดมาให้

ยังไงก็ตาม การใช้งาน Telegram มีจุดหนึ่งที่ต้องระวังก็คือเรื่องใช้หมายเลขโทรศัพท์เพื่อสมัครการใช้งาน โดยถ้าเปิดแอปให้เข้าถึงข้อมูลรายชื่อในโทรศัพท์ ของเรา Telegram จะเพิ่มเพื่อนให้เราอัตโนมัติพร้อมกับแจ้งเตือนไปยังผู้ใช้อื่นที่ใช้งาน Telegram อยู่ด้วย จึงควรระวังการใช้งานตรงนี้ให้ดีและถ้าจะเข้าร่วมกลุ่มแชตก็ควรปิดหมายเลขโทรศัพท์ไว้ เพราะว่าถ้าเข้าไปอยู่ในกลุ่มแล้วเกิดมีผู้ไม่หวังดีเอาเบอร์ของเราไปสืบหาตัวตนก็คงไม่ใช่เรื่องยาก ที่สำคัญก่อนเข้าห้องแชตก็ควรเปลี่ยนชื่อตัวเอง อาจจะใช้ตัวอักษรแบบสุ่มหรือเปลี่ยนเป็นชื่ออะไรก็ได้ที่ไม่สามารถโยงมาถึงตัวเราได้ด้วย

แม้ว่า Telegram จะถูกสร้างขึ้นมาพร้อมกับฟีเจอร์ที่ป้องกันความเป็นส่วนตัวมากแค่ไหนก็ยังเป็นไปได้ที่จะมีช่องโหว่ให้ผู้ไม่ประสงค์ดีเข้ามาล้วงข้อมูลส่วนตัวของเราได้อยู่ดี จากรายงานของ New York Times แจ้งว่าแฮกเกอร์ชาวอิหร่านใช้เทคนิกหลายอย่างในการล้วงข้อมูลของผู้ใช้งาน โดยวิธีที่ใช้ได้ผลที่สุดคือการส่งเอกสารปลอมหรือแอพพลิเคชั่นปลอมไปยังกลุ่มเป้าหมายที่ถูกกำหนดเอาไว้ อาจจะเป็นเอกสารที่กลุ่มคนเหล่านี้ ‘น่าจะ’ สนใจ อย่างเช่น “รัฐบาลออกเอกสารลับขั้นตอนการแฮก Telegram.docx” แนบมาในเมล พอกดเปิดปุ๊บก็ติดตั้ง malware ไว้บนคอมพิวเตอร์หรือมือถือของผู้ใช้งานเพื่อคอยสอดส่องเก็บข้อมูล แคปหน้าจอ ฯลฯ ได้ทันที

อีกวิธีหนึ่งจากรายงานข่าวคือแฮกเกอร์เหล่านี้พบช่องโหว่ในขั้นตอนการติดตั้งแอพพลิเคชั่น (รวมไปถึง Telegram ด้วย) ที่จะทำให้แฮกเกอร์นั้นสามารถใช้บัญชีของผู้ใช้งานได้ทุกอย่างเลย โดยพวกเขาจะขโมยไฟล์สำหรับการติดตั้งนี้ไปใช้กับคอมพิวเตอร์หรือมือถือเครื่องอื่น เพราะฉะนั้นจึงไม่มีความจำเป็นที่ต้องถอดรหัสข้อความอีกต่อไป เพราะสามารถใช้ข้อมูลของเหยื่อเพื่อไปล็อคอินจากอีกที่หนึ่งได้เลย

ทาง Telegram ออกมากล่าวว่าพวกเขายังไม่เห็นการแฮ็กแบบนี้จริงๆ แต่ก็ไม่ได้ปฎิเสธว่ามันก็อาจจะเกิดขึ้นได้เพราะพวกเขาเองก็ไม่สามารถป้องกันไม่ให้ผู้ใช้งานบอกรหัสหรือตกเป็นเหยื่อของการล้วงข้อมูลแบบ phishing ได้

ที่มา

thematter.co

ทั้งหมด 8 ความคิดเห็น

  • I******* 25 มิ.ย. 2564 10:08

    ไม่ดู ไม่กด ไม่เก็บ ปฏิบัติเบื้องต้นจ้า

  • ***** 24 มิ.ย. 2564 16:15

    จริง ๆ ทุกแอพมีความอันตรายที่จะเกิดข้อมูลรั่วไหลได้หมดแหละ

  • E********** 22 มิ.ย. 2564 19:56

    ง่ายสุดคือใช้ vpn ร่วมด้วย และแอนตี้ไวรัสของแท้ใช้ อย่างน้อย พวกมัลแวร์ หรือ สปายแวร์ ลดลงได้บ้าง แต่ส่วนตัว ตามใจแอปตัวไหน ก็เก็บข้อมูลส่วนบุคคลได้เสมอ และบางคนกดอนุญาตการเข้าถึง โดยที่ไม่ได้อ่านรายละเอียดก่อน ตัวนี่ผมเองก็ใช้ แต่เพิ่งถอนออกไปอาทิตย์ก่อน เนื่องจากไปเห็นการออกมาประกาศจากทางผู้พัฒนาแอป นั่นล่ะครับ

  • E********** 22 มิ.ย. 2564 19:56

    ง่ายสุดคือใช้ vpn ร่วมด้วย และแอนตี้ไวรัสของแท้ใช้ อย่างน้อย พวกมัลแวร์ หรือ สปายแวร์ ลดลงได้บ้าง แต่ส่วนตัว ตามใจแอปตัวไหน ก็เก็บข้อมูลส่วนบุคคลได้เสมอ และบางคนกดอนุญาตการเข้าถึง โดยที่ไม่ได้อ่านรายละเอียดก่อน ตัวนี่ผมเองก็ใช้ แต่เพิ่งถอนออกไปอาทิตย์ก่อน เนื่องจากไปเห็นการออกมาประกาศจากทางผู้พัฒนาแอป นั่นล่ะครับ

  • ***************** 21 มิ.ย. 2564 06:58

    ขอบคุณสำหรับข้อมูลค่ะ

  • ************** 18 มิ.ย. 2564 12:55

    ไม่ปลอดภัย

  • ************** 7 มิ.ย. 2564 23:10

    ทำให้มีข้อมูลในการพูดคุยกับนักเรียนได้

  • ************************** 22 พ.ค. 2564 17:12

    ใช้ Social media ต้องมีสติเสมอ