امنیت تلگرام طلایی چگونه حریم خصوصی کاربران را نقض می‌کند؟

برخی از تلگرام‌های رنگی یا همان غیر رسمی کماکان فعال هستند و بدون هیچ مشکلی فعالیت می‌کنند و گل سر سبد آنها در این روزها تلگرام طلایی است که همچنان در مارکت‌های اندرویدی همچون کافه‌بازار وجود دارد و حواشی زیادی نیز تاکنون پیرامون هویت و نوع فعالیت آن پیش آمده است، از شایعه دولتی بودن آن تا بیانیه وزارت ارتباطات درباره هشدار استفاده از تلگرام‌های غیرقانونی و شکایت عبدالصمد خرم‌آبادی و حتی شعر سرودن وی علیه تلگرام طلایی تنها چند مورد از این شایعه‌هاست. اما در مورد امنیت تلگرام طلایی همیشه شبهات زیادی وجود داشته و چندی پیش تیمی سه نفره متشکل از کارشناسان امنیتی برخی از زویای این پیام رسان را موشکافی کردند و نظرات جالبی در مورد امنیت پلتفرم تلگرام طلایی منتشر ساختند.

شرکت دانش‌بنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تی‌نیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهای‌شان از نوع سرورهای storage (ذخیره) نیست و مدل‌های عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمی‌کنند.

با این‌حال تحقیقات اخیر تاحدی این ادعاها را نقض می‌کند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیام‌رسان کار می‌کنند باید اطلاعات 6ماه گذشته‌شان را در یک جای امن نگهداری کنند.

امنیت تلگرام طلایی

«علیرضا ابراهیمی» کارشناس امنیت و نرم افزار یکی از این اعضای تیم بررسی کننده تلگرام طلایی است که در گفتگوی خود با دیجیاتو درباره نحوه تحقیقشان و مسائل دیگری درباره تلگرام طلایی به تفصیل توضیح می‌دهد. ابراهیمی پژوهش و بررسی گروه خودشان را یک تحلیل ایستا می‌داند و باور دارد که نقض حریم خصوصی در تلگرام طلایی امکان دارد، اما اینکه آیا این مساله تا کنون توسط عوامل این مجموعه رخ داده یا خیر را نمی‌توان مهر صد درصدی به آن زد:

«ممکن است که تاکنون هیچ دیتایی توسط آنها ذخیره سازی نشده باشد و عکس آن هم کاملا امکان پذیر است ولی تحقیق ما بیشتر روی موارد ناامن دیگر این برنامه بوده است. با این حال تقریبا به طور قاطع با توجه به تبلیغات و مشکلاتی که مشاهده کردیم می‌توانیم بگوییم سرویس فرستادن لیست Contactها توسط این برنامه صورت گرفته است و همه شماره‌های دفترچه تلفن‌ کاربران خود را ذخیره کرده است.»

امنیت تلگرام طلایی

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

ابراهیمی می‌گوید که 256 IP وجود دارد که تلگرام طلایی هر بار درخواستی به یک آدرس ثابت می‌فرستد و پیامی رمزینه شده دریافت می‌کند و در آن پیام آدرس IP یک سرور پراکسی به اضافه یوزر نیم و پسورد و یک متغیر دیگر با نام TTL وجود دارد:

«TTL یا همان Time To Leave نشان می‌دهد که این سرور تا کی زنده است و مقدار آن معمولا پانزده دقیقه است و در نتیجه کلاینت تلگرام طلایی هر یک ربع یکبار با ارسال یک درخواست جدید، IP سرور پراکسی جدیدی را از آن خود می‌کند و پراکسی قبلی را از دسترس خارج می‌کند و احتمالا دوباره بعدها بازیافت یا همان احیا می‌شود.»

این کارشناس امنیت اطلاعات معتقد است که کلاینت تلگرام طلایی از طریق یک کانال سرور پراکسی به تلگرام اصلی وصل می‌شود و در آن مسیر داده‌های اصلی تلگرام عبور می‌کند:

«داده‌ها وقتی وارد گوشی کاربر می‌شوند در آنجا باز می‌شوند و تلگرام طلایی یک سرور جدای HTTP دارد که این اطلاعات را می‌تواند از طریق این بستر برای جای دیگری بفرستد که هیچ ربطی به سرورهای تلگرام اصلی ندارند و مال خود تلگرام طلایی است. این بخش اگر از تلگرام طلایی حذف شود، هیچ خللی در کارش انجام نمی‌شود و وجود چنین قابلیتی که به نقض حریم خصوصی کاربر انجام می‌شود، غیر منطقی است.»

امنیت تلگرام طلایی

اکثر تلگرامهای رنگی به جز تلگرام طلایی از مارکت های اندرویدی حذف شده اند

به گفته ابراهیمی تلگرام طلایی در داخل ایران CDN ندارد بلکه یک سری سرور پراکسی دارد و با آنها فعالیت خود را ادامه می‌دهد و از نظر امنیتی اینکه CDNای برای تلگرام طلایی وجود ندارد چندان مشکل ساز نیست چرا که فقط داده‌های عمومی در CDN جمع می‌شود. او مشکلات و نقص‌های یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح می‌دهد و تاکید می‌کند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیون‌ها کاربر است:

  • امکان ارسال لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است به سرورهای خود
  • امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
  • امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
  • امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
  • امکان دسترسی به کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
  • ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
  • امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
  • امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
  • امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
  • امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

امنیت تلگرام طلایی

با اینکه مسئولان تلگرام طلایی در گفتگو با روزنامه همشهری فروش استیکر را یکی از اصلی‌ترین بیزینس پلن‌های خود معرفی کردند اما ابراهیمی باور دارد که مدل درآمدزایی تلگرام طلایی از طرق مختلفی است:

«به عنوان مثال در کدهای این برنامه یک سری لینک‌های URL تبلیغاتی دیدیم و یک سری خدمات پرداخت الکترونیک نیز در داخل کدها دیدیم که احتمالا در آینده برنامه این سیستم قرار دارد. ما شخصا چیزی از فروش دیتا و تبادل آنها ندیدیم ولی در هر حال هزینه سرورهای پراکسی در کنار کاربران بسیار زیاد آنها، هزینه قابل توجهی است و همچنین متخصص‌های برنامه‌نویسی قوی‌ای در این مجموعه هستند که قطعا هزینه‌های خاص و بالایی را برای مجموعه دارند و نمی‌دانیم چطور این هزینه‌ها تامین می‌شود.»

پژوهش‌ انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهین‌زاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است.

مطالب مرتبط

لغو پروژه TON برای تلگرام دردسرساز شد؛ احتمال شکایت سرمایه‌گذاران از پاول دورف

موسس تلگرام رسما خبر از لغو شبکه بلاکچین TON و رمزارز گرم داده و حالا به نظر می‌رسد این موضوع برای پاول دورف دردسرساز شود. سرمایه‌گذاران که ۱.۷ میلیارد برای این پروژه هزینه کرده‌اند، شاید از تلگرام و دورف شکایت کنند.پاول دورف با اعلام خبر لغو پروژه پلتفرم بلاکچین و توکن گرم، دلایل این موضوع... ادامه مطلب

تلگرام پروژه بلاکچین و ارز دیجیتال گرم را لغو کرد

سرویس پیام‌رسان تلگرام رسما اعلام کرد که پلتفرم بلاکچین TON یا شبکه باز تلگرام را پس از مدت‌ها مجادله با کمیسیون بورس و اوراق بهادار ایالات متحده آمریکا (SEC)، لغو کرده است.مدیرعامل و موسس تلگرام، «پاول دورف» در کانال شخصی خود نوشت:«امروز یک روز غم‌انگیز برای ما در تلگرام است. ما توقف پروژه بلاکچین خود را... ادامه مطلب

کابوس حریم خصوصی؛ نظارت دولت هند بر کاربران با برنامه ردیابی تماس کرونا

بررسی‌ اپلیکیشنی که هند برای ردیابی تماس‌های بیماران مبتلا به کرونا توسعه داده نشان می‌دهد که این برنامه به دولت هند اجازه نظارت بر میلیون‌ها شهروند هندی را می‌دهد.دولت هند ماه گذشته میلادی اپلیکیشنی به نام «Aarogya Setu» را برای ردیابی تماس‌های بیماران مبتلا به کرونا منتشر کرد. نصب این اپلیکیشن در ابتدا آزاد بود... ادامه مطلب

گوشی‌های شیائومی به جمع‌آوری مخفیانه اطلاعات کاربران متهم شدند

بر اساس ادعای یک محقق امنیتی که با فوربس همکاری دارد، اطلاعات کاربران با استفاده از مرورگر مورد استفاده در گوشی‌های شیائومی جمع آوری می‌شود. گفته شده که این اطلاعات در زمان استفاده از حالت ناشناس یا موتورهای جستجویی مانند DuckDuckGo نیز جمع آوری می‌شوند.محقق امنیتی، «گابریل سیرلیگ» که از ردمی نوت 8 به عنوان گوشی... ادامه مطلب

شکایت دو کودک از گوگل به اتهام نقض حریم خصوصی

دو کودک ساکن ایلینوی آمریکا به اتهام جمع آوری غیر قانونی داده های بیومتریک توسط گوگل از این شرکت شکایت کرده و خواستار دریافت غرامت شدند. این داده ها شامل اسکن چهره و صدای میلیون ها دانش آموزی است که از ابزارهای آموزشی این کمپانی استفاده کرده اند.در پی تعطیلی مدارس آمریکا بر اثر شیوع... ادامه مطلب

رسپینا درباره میزبانی وب‌سایت شکار و افشای اطلاعات کاربران ایرانی تلگرام بیانیه داد

روز گذشته مشخص شد اطلاعات کاربری و شماره تماس‌ ۴۲ میلیون کاربر ایرانی تلگرام در قالب یک دیتابیس در اینترنت با قیمت ۵۰۰ دلار به فروش می‌رسد. این دیتابیس، از وب‌سایتی به نام «سامانه شکار» کشف شده بود. در این میان ابتدا توسط چند کارشناس امنیت و سپس معاون وزیر ارتباطات اعلام شد که سامانه... ادامه مطلب

ویجیاتو

نظرات ۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟