امنیت تلگرام طلایی چگونه حریم خصوصی کاربران را نقض می‌کند؟

برخی از تلگرام‌های رنگی یا همان غیر رسمی کماکان فعال هستند و بدون هیچ مشکلی فعالیت می‌کنند و گل سر سبد آنها در این روزها تلگرام طلایی است که همچنان در مارکت‌های اندرویدی همچون کافه‌بازار وجود دارد و حواشی زیادی نیز تاکنون پیرامون هویت و نوع فعالیت آن پیش آمده است، از شایعه دولتی بودن آن تا بیانیه وزارت ارتباطات درباره هشدار استفاده از تلگرام‌های غیرقانونی و شکایت عبدالصمد خرم‌آبادی و حتی شعر سرودن وی علیه تلگرام طلایی تنها چند مورد از این شایعه‌هاست. اما در مورد امنیت تلگرام طلایی همیشه شبهات زیادی وجود داشته و چندی پیش تیمی سه نفره متشکل از کارشناسان امنیتی برخی از زویای این پیام رسان را موشکافی کردند و نظرات جالبی در مورد امنیت پلتفرم تلگرام طلایی منتشر ساختند.

شرکت دانش‌بنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تی‌نیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهای‌شان از نوع سرورهای storage (ذخیره) نیست و مدل‌های عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمی‌کنند.

با این‌حال تحقیقات اخیر تاحدی این ادعاها را نقض می‌کند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیام‌رسان کار می‌کنند باید اطلاعات 6ماه گذشته‌شان را در یک جای امن نگهداری کنند.

امنیت تلگرام طلایی

«علیرضا ابراهیمی» کارشناس امنیت و نرم افزار یکی از این اعضای تیم بررسی کننده تلگرام طلایی است که در گفتگوی خود با دیجیاتو درباره نحوه تحقیقشان و مسائل دیگری درباره تلگرام طلایی به تفصیل توضیح می‌دهد. ابراهیمی پژوهش و بررسی گروه خودشان را یک تحلیل ایستا می‌داند و باور دارد که نقض حریم خصوصی در تلگرام طلایی امکان دارد، اما اینکه آیا این مساله تا کنون توسط عوامل این مجموعه رخ داده یا خیر را نمی‌توان مهر صد درصدی به آن زد:

«ممکن است که تاکنون هیچ دیتایی توسط آنها ذخیره سازی نشده باشد و عکس آن هم کاملا امکان پذیر است ولی تحقیق ما بیشتر روی موارد ناامن دیگر این برنامه بوده است. با این حال تقریبا به طور قاطع با توجه به تبلیغات و مشکلاتی که مشاهده کردیم می‌توانیم بگوییم سرویس فرستادن لیست Contactها توسط این برنامه صورت گرفته است و همه شماره‌های دفترچه تلفن‌ کاربران خود را ذخیره کرده است.»

امنیت تلگرام طلایی

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

ابراهیمی می‌گوید که 256 IP وجود دارد که تلگرام طلایی هر بار درخواستی به یک آدرس ثابت می‌فرستد و پیامی رمزینه شده دریافت می‌کند و در آن پیام آدرس IP یک سرور پراکسی به اضافه یوزر نیم و پسورد و یک متغیر دیگر با نام TTL وجود دارد:

«TTL یا همان Time To Leave نشان می‌دهد که این سرور تا کی زنده است و مقدار آن معمولا پانزده دقیقه است و در نتیجه کلاینت تلگرام طلایی هر یک ربع یکبار با ارسال یک درخواست جدید، IP سرور پراکسی جدیدی را از آن خود می‌کند و پراکسی قبلی را از دسترس خارج می‌کند و احتمالا دوباره بعدها بازیافت یا همان احیا می‌شود.»

این کارشناس امنیت اطلاعات معتقد است که کلاینت تلگرام طلایی از طریق یک کانال سرور پراکسی به تلگرام اصلی وصل می‌شود و در آن مسیر داده‌های اصلی تلگرام عبور می‌کند:

«داده‌ها وقتی وارد گوشی کاربر می‌شوند در آنجا باز می‌شوند و تلگرام طلایی یک سرور جدای HTTP دارد که این اطلاعات را می‌تواند از طریق این بستر برای جای دیگری بفرستد که هیچ ربطی به سرورهای تلگرام اصلی ندارند و مال خود تلگرام طلایی است. این بخش اگر از تلگرام طلایی حذف شود، هیچ خللی در کارش انجام نمی‌شود و وجود چنین قابلیتی که به نقض حریم خصوصی کاربر انجام می‌شود، غیر منطقی است.»

امنیت تلگرام طلایی

اکثر تلگرامهای رنگی به جز تلگرام طلایی از مارکت های اندرویدی حذف شده اند

به گفته ابراهیمی تلگرام طلایی در داخل ایران CDN ندارد بلکه یک سری سرور پراکسی دارد و با آنها فعالیت خود را ادامه می‌دهد و از نظر امنیتی اینکه CDNای برای تلگرام طلایی وجود ندارد چندان مشکل ساز نیست چرا که فقط داده‌های عمومی در CDN جمع می‌شود. او مشکلات و نقص‌های یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح می‌دهد و تاکید می‌کند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیون‌ها کاربر است:

  • امکان ارسال لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است به سرورهای خود
  • امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
  • امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
  • امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
  • امکان دسترسی به کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
  • ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
  • امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
  • امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
  • امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
  • امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

امنیت تلگرام طلایی

با اینکه مسئولان تلگرام طلایی در گفتگو با روزنامه همشهری فروش استیکر را یکی از اصلی‌ترین بیزینس پلن‌های خود معرفی کردند اما ابراهیمی باور دارد که مدل درآمدزایی تلگرام طلایی از طرق مختلفی است:

«به عنوان مثال در کدهای این برنامه یک سری لینک‌های URL تبلیغاتی دیدیم و یک سری خدمات پرداخت الکترونیک نیز در داخل کدها دیدیم که احتمالا در آینده برنامه این سیستم قرار دارد. ما شخصا چیزی از فروش دیتا و تبادل آنها ندیدیم ولی در هر حال هزینه سرورهای پراکسی در کنار کاربران بسیار زیاد آنها، هزینه قابل توجهی است و همچنین متخصص‌های برنامه‌نویسی قوی‌ای در این مجموعه هستند که قطعا هزینه‌های خاص و بالایی را برای مجموعه دارند و نمی‌دانیم چطور این هزینه‌ها تامین می‌شود.»

پژوهش‌ انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهین‌زاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است.

برچسب ها

مطالب مرتبط

رمزارز تلگرام تا دو ماه دیگر عرضه می‌شود

پس از کش و قوس های فراوان سرانجام زمان ارائه رمزارز تلگرام با عنوان «گرم» تا حدودی مشخص شده است.آخرین بار که خبرهای مربوط به رمزارز گرم (Gram) در رسانه ها منتشر شد، گمانه زنی هایی در مورد لغو این پروژه به گوش می رسید اما بر اساس گزارش نیویورک تایمز کمپانی تلگرام نخستین دور از... ادامه مطلب

روسیه در حال آزمایش فناوری های پیشرفته تر برای فیلترینگ تلگرام

روسیه قصد دارد پس از شکست فیلترینگ تلگرام فناوری های دقیق تری را برای فیلتر کردن این پیام رسان به کار ببرد.روسیه در ماه های پیش پیام رسان تلگرام را به دلیل مقاومت این شرکت در برابر اجازه دسترسی به داده های رمزنگاری شده کاربران، فیلتر کرد. این موضوع برای کاربران دردسرهایی را به همراه داشت.برخی... ادامه مطلب

میلیون ها اکانت تلگرام در معرض هک قرار دارند

تلگرام یکی از محبوب ترین اپلیکیشن های چت در ایران است که گفته می شود ده ها میلیون ایرانی از آن استفاده می کنند. اما اطلاعات و گفتگو های این کاربران ممکن است آنقدر ها که به نظر می رسد امن نباشند. به گفته ی دو محقق به نام های کالین اندرسون و کلادیو گارنیری، اکانت... ادامه مطلب

معرفی ArzLive_bot؛ رباتی برای دریافت لحظه به لحظه نرخ ارز، سکه و طلا

نوسانات قیمت ارز، طلا و سکه در میان گروه های مختلف جامعه تبدیل به یکی از مهم ترین بحث های داخلی شده است. برای افرادی که به صورت مستقیم با این موارد مرتبط هستند، دانستن قیمت لحظه ای یک امر ضروری به شمار می رود. خبر خوش آن که حالا قادر هستید با فشردن تنها... ادامه مطلب

اپل از انتشار آپدیت تلگرام در اپ استور ممانعت می کند

به دنبال دستور دولت روسیه مبنی بر فیلترینگ تلگرام در این کشور، اپل از انتشار آپدیت تلگرام در اپ استور ممانعت به عمل می‌آورد.همانطور که می‌دانید، پیش از فیلترینگ تلگرام در ایران دولت روسیه در حکمی قضایی دستور مسدودسازی پیام‌رسان مذکور در این کشور را صادر کرد. دلیل فیلترینگ عدم همکاری تلگرام با سرویس امنیتی فدرال روسیه... ادامه مطلب

تلگرام از جعلی بودن کمپانی ارز مجازی ثبت شده به نام دورف خبر داد

هنوز مدت زیادی از پیش فروش ارز مجازی تلگرام نگذشته که افرادی با هدف سودجویی از این ماجرا شروع به کلاهبرداری از کاربران کرده اند و در نخستین موارد از این دست فردی ناشناس در بریتانیا شرکتی جعلی به نام Telegram Open Network Limited را تاسیس کرده که به ظاهر با پروژه ارز مجازی تلگرام ارتباط... ادامه مطلب

نظرات ۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x

رمزتان را گم کرده‌اید؟