امنیت و رعایت حریم خصوصی در تلگرام طلایی

بررسی امنیت و رعایت حریم خصوصی در تلگرام طلایی

واقعا امنیت و رعایت حریم خصوصی در تلگرام طلایی چگونه است ؟

از دسترس خارج شدن تلگرام در سال ۹۶، فرصت مناسبی برای رشد پیام‌رسان‌های ایرانی به شمار می‌رفت. در این میان به جز پیام‌رسان‌های ایرانی برخی کلاینت‌های غیر رسمی تلگرام نیز رشد قابل توجهی داشتند. تلگرام طلایی که شاید محبوب‌ترین کلاینت غیررسمی تلگرام بعد از فیلتر شدن آن باشد، به گفته یکی از اعضای کمیته تعیین مصادیق مجرمانه حدود ۲۵ میلیون نفر کاربر دارد. که البته عبارت دقیق‌تر این است که ۲۵ میلیون نفر از برنامه تلگرام طلایی برای اتصال به سرورهای تلگرام استفاده می‌کنند.

۱- چرا تلگرام طلایی را بررسی کردیم؟

شرکت دانش‌بنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تی‌نیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهای‌شان از نوع سرورهای storage (ذخیره) نیست و مدل‌های عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمی‌کنند.

با این‌حال تحقیقات اخیر تاحدی این ادعاها را نقض می‌کند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیام‌رسان کار می‌کنند باید اطلاعات 6ماه گذشته‌شان را در یک جای امن نگهداری کنند.

همچنین، برخی از اظهار نظرهای غیر فنی و نادقیق راجع به این نرم‌افزار (از قبیل اینکه : تلگرام طلایی یک نسخه از تمامی چت‌ها را به یک سرور خاص ارسال می‌کند و …) نه تنها کمکی به موضوع نمی‌کند بلکه شبهات و شایعه‌ها را بیشتر می‌کند. این نگرانی‌ها ما را بر آن داشت تا نرم‌افزار فوق را از منظر وجود کدهای مخرب مانند ابزارهای سرقت اطلاعات، سطح امنیت، و حفظ حریم خصوصی کاربران مورد بررسی قرار دهیم.

۲- موارد بررسی شده

تلگرام طلایی یک کلاینت تلگرام است و در ظاهر سرورهای مجزا ندارد بلکه از زیرساخت سرورهای تلگرام برای رد و بدل کردن پیام استفاده می‌کند. با بررسی بیشتر کلاینت، متوجه این امر شدیم که علاوه بر سرورهای رسمی تلگرام، تلگرام طلایی سرورهایی دارد که موبایل کاربر به‌صورت ناخواسته با آن‌ها ارتباط برقرار می‌کند. ارتباط بین تلگرام طلایی و سرورهای رسمی تلگرام و همچنین سرورهای تلگرام طلایی به صورت زیر است:

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام
جریان‌ داده از تلگرام طلایی تا سرورهای تلگرام

ابراهیمی مشکلات و نقص‌های یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح می‌دهد و تاکید می‌کند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیون‌ها کاربر است: 

  • امکان ارسال لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است به سرورهای خود
  • امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
  • امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
  • امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
  • امکان دسترسی به کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
  • ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
  • امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
  • امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
  • امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
  • امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

پژوهش‌ انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهین‌زاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است