امنیت تلگرام طلایی چگونه حریم خصوصی کاربران را نقض می‌کند؟

برخی از تلگرام‌های رنگی یا همان غیر رسمی کماکان فعال هستند و بدون هیچ مشکلی فعالیت می‌کنند و گل سر سبد آنها در این روزها تلگرام طلایی است که همچنان در مارکت‌های اندرویدی همچون کافه‌بازار وجود دارد و حواشی زیادی نیز تاکنون پیرامون هویت و نوع فعالیت آن پیش آمده است، از شایعه دولتی بودن آن تا بیانیه وزارت ارتباطات درباره هشدار استفاده از تلگرام‌های غیرقانونی و شکایت عبدالصمد خرم‌آبادی و حتی شعر سرودن وی علیه تلگرام طلایی تنها چند مورد از این شایعه‌هاست. اما در مورد امنیت تلگرام طلایی همیشه شبهات زیادی وجود داشته و چندی پیش تیمی سه نفره متشکل از کارشناسان امنیتی برخی از زویای این پیام رسان را موشکافی کردند و نظرات جالبی در مورد امنیت پلتفرم تلگرام طلایی منتشر ساختند.

شرکت دانش‌بنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تی‌نیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهای‌شان از نوع سرورهای storage (ذخیره) نیست و مدل‌های عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمی‌کنند.

با این‌حال تحقیقات اخیر تاحدی این ادعاها را نقض می‌کند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیام‌رسان کار می‌کنند باید اطلاعات 6ماه گذشته‌شان را در یک جای امن نگهداری کنند.

امنیت تلگرام طلایی

«علیرضا ابراهیمی» کارشناس امنیت و نرم افزار یکی از این اعضای تیم بررسی کننده تلگرام طلایی است که در گفتگوی خود با دیجیاتو درباره نحوه تحقیقشان و مسائل دیگری درباره تلگرام طلایی به تفصیل توضیح می‌دهد. ابراهیمی پژوهش و بررسی گروه خودشان را یک تحلیل ایستا می‌داند و باور دارد که نقض حریم خصوصی در تلگرام طلایی امکان دارد، اما اینکه آیا این مساله تا کنون توسط عوامل این مجموعه رخ داده یا خیر را نمی‌توان مهر صد درصدی به آن زد:

«ممکن است که تاکنون هیچ دیتایی توسط آنها ذخیره سازی نشده باشد و عکس آن هم کاملا امکان پذیر است ولی تحقیق ما بیشتر روی موارد ناامن دیگر این برنامه بوده است. با این حال تقریبا به طور قاطع با توجه به تبلیغات و مشکلاتی که مشاهده کردیم می‌توانیم بگوییم سرویس فرستادن لیست Contactها توسط این برنامه صورت گرفته است و همه شماره‌های دفترچه تلفن‌ کاربران خود را ذخیره کرده است.»

امنیت تلگرام طلایی

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

ابراهیمی می‌گوید که 256 IP وجود دارد که تلگرام طلایی هر بار درخواستی به یک آدرس ثابت می‌فرستد و پیامی رمزینه شده دریافت می‌کند و در آن پیام آدرس IP یک سرور پراکسی به اضافه یوزر نیم و پسورد و یک متغیر دیگر با نام TTL وجود دارد:

«TTL یا همان Time To Leave نشان می‌دهد که این سرور تا کی زنده است و مقدار آن معمولا پانزده دقیقه است و در نتیجه کلاینت تلگرام طلایی هر یک ربع یکبار با ارسال یک درخواست جدید، IP سرور پراکسی جدیدی را از آن خود می‌کند و پراکسی قبلی را از دسترس خارج می‌کند و احتمالا دوباره بعدها بازیافت یا همان احیا می‌شود.»

این کارشناس امنیت اطلاعات معتقد است که کلاینت تلگرام طلایی از طریق یک کانال سرور پراکسی به تلگرام اصلی وصل می‌شود و در آن مسیر داده‌های اصلی تلگرام عبور می‌کند:

«داده‌ها وقتی وارد گوشی کاربر می‌شوند در آنجا باز می‌شوند و تلگرام طلایی یک سرور جدای HTTP دارد که این اطلاعات را می‌تواند از طریق این بستر برای جای دیگری بفرستد که هیچ ربطی به سرورهای تلگرام اصلی ندارند و مال خود تلگرام طلایی است. این بخش اگر از تلگرام طلایی حذف شود، هیچ خللی در کارش انجام نمی‌شود و وجود چنین قابلیتی که به نقض حریم خصوصی کاربر انجام می‌شود، غیر منطقی است.»

امنیت تلگرام طلایی

اکثر تلگرامهای رنگی به جز تلگرام طلایی از مارکت های اندرویدی حذف شده اند

به گفته ابراهیمی تلگرام طلایی در داخل ایران CDN ندارد بلکه یک سری سرور پراکسی دارد و با آنها فعالیت خود را ادامه می‌دهد و از نظر امنیتی اینکه CDNای برای تلگرام طلایی وجود ندارد چندان مشکل ساز نیست چرا که فقط داده‌های عمومی در CDN جمع می‌شود. او مشکلات و نقص‌های یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح می‌دهد و تاکید می‌کند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیون‌ها کاربر است:

  • امکان ارسال لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است به سرورهای خود
  • امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
  • امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
  • امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
  • امکان دسترسی به کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
  • ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
  • امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
  • امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
  • امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
  • امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

امنیت تلگرام طلایی

با اینکه مسئولان تلگرام طلایی در گفتگو با روزنامه همشهری فروش استیکر را یکی از اصلی‌ترین بیزینس پلن‌های خود معرفی کردند اما ابراهیمی باور دارد که مدل درآمدزایی تلگرام طلایی از طرق مختلفی است:

«به عنوان مثال در کدهای این برنامه یک سری لینک‌های URL تبلیغاتی دیدیم و یک سری خدمات پرداخت الکترونیک نیز در داخل کدها دیدیم که احتمالا در آینده برنامه این سیستم قرار دارد. ما شخصا چیزی از فروش دیتا و تبادل آنها ندیدیم ولی در هر حال هزینه سرورهای پراکسی در کنار کاربران بسیار زیاد آنها، هزینه قابل توجهی است و همچنین متخصص‌های برنامه‌نویسی قوی‌ای در این مجموعه هستند که قطعا هزینه‌های خاص و بالایی را برای مجموعه دارند و نمی‌دانیم چطور این هزینه‌ها تامین می‌شود.»

پژوهش‌ انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهین‌زاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است.

مستر بلیط
برچسب ها

مطالب مرتبط

معرفی تولگرام؛ ابزاری برای مدیریت حرفه ای و درآمدزایی از تلگرام

زمانی که پاول دورف از قابلیت کانال در تلگرام پرده برداشت، شاید کمتر کسی تصورش را می کرد که این ابزار اطلاع رسانی با چنین استقبالی از سوی مردم (خصوصا کاربران ایرانی) مواجه شده و به بستر مهمی برای تجارت و درآمدزایی تبدیل شود. همین الان که این متن را می خوانید کانال هایی با بیش... ادامه مطلب

تلگرام مرز آزادی بیان را مشخص کرد

گروهی موسوم به «ری استارت» به رهبری «محمد حسینی»، یکی از مجریان سابق تلویزیونی در ماه‌های گذشته با توجه به فراخوان‌های متعدد این فرد در کانال تلگرامی‌اش و همچنین ضبط و نشر پادکست‌های صوتی از طریق همین کانال، فعالیت‌های تخریبی و آشوب‌طلبانه‌ای را در سطح کشور رواج دادند. آتش زدن ادارات دولتی، مساجد و سازمان‌های... ادامه مطلب

اعلام روزانه قیمت محصولات الکترونیکی، خودرو، طلا و ارز با ربات تلگرام Mahbot

این روزها وجود یک سرویس آنلاین که بتواند در کسری از ثانیه، اطلاعات جامع و مفید را به صورت روزانه در اختیار ما قرار دهد به شدت حس می شود. اطلاعاتی چون صفحه ی نخست روزنامه های مهم کشور، قیمت انواع خودرو و تلفن هوشمند، ترجمه کلمه و عبارات به چند زبان مختلف و مواردی از... ادامه مطلب

معرفی ImageTranslateBot؛ رباتی برای ترجمه ی عکس نوشته ها به زبان های مختلف

امروزه با گسترش اینترنت و ارتباط کاربران آن با یکدیگر، وجود مترجمی قدرتمند برای تبدیل متون یک زبان به زبان دیگر امری مهم و حیاتی تلقی می شود. از این رو سرویس های بزرگی چون گوگل ترنسلیت با پشتیبانی از زبان های زنده دنیا قادر هستند مکالمه های روزمره های شما را به هر زبانی ترجمه... ادامه مطلب

معرفی SaveVideoBot؛ رباتی برای دانلود آسان ویدیوها

برای شما نیز بارها و بارها پیش آمده که از ویدیویی خاص در یکی از وبسایت های اشتراک گذاریی ویدیو نظیر 9gag، Instagram، Youtube و... خوشتان آمده باشد و بخواهید آن ها را دانلود کنید. پیش از این مطلب ملزم بودید تا با مراجعه به سرویس های مختلف اینترنتی و یا ابزار گوناگون روی رایانه های... ادامه مطلب

معرفی iMapRobot؛ رباتی برای یافتن مراکز خدماتی اطراف

مطمئنیم بارها و بارها نیز برای شما پیش آمده که مکان های اطراف خود را نشناسید و یا در انتخاب یکی از آن ها دچار تردید شوید. به همین روی وجود ابزاری که بتواند در این امر به شما کمک و موقعیت مکان هایی چون مساجد، بانک ها و... که در اطراف شما قرار دارند را برایتان... ادامه مطلب

نظرات ۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x