واقعا امنیت و رعایت حریم خصوصی در تلگرام طلایی چگونه است ؟
از دسترس خارج شدن تلگرام در سال ۹۶، فرصت مناسبی برای رشد پیامرسانهای ایرانی به شمار میرفت. در این میان به جز پیامرسانهای ایرانی برخی کلاینتهای غیر رسمی تلگرام نیز رشد قابل توجهی داشتند. تلگرام طلایی که شاید محبوبترین کلاینت غیررسمی تلگرام بعد از فیلتر شدن آن باشد، به گفته یکی از اعضای کمیته تعیین مصادیق مجرمانه حدود ۲۵ میلیون نفر کاربر دارد. که البته عبارت دقیقتر این است که ۲۵ میلیون نفر از برنامه تلگرام طلایی برای اتصال به سرورهای تلگرام استفاده میکنند.
۱- چرا تلگرام طلایی را بررسی کردیم؟
شرکت دانشبنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تینیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهایشان از نوع سرورهای storage (ذخیره) نیست و مدلهای عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمیکنند.
با اینحال تحقیقات اخیر تاحدی این ادعاها را نقض میکند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیامرسان کار میکنند باید اطلاعات 6ماه گذشتهشان را در یک جای امن نگهداری کنند.
همچنین، برخی از اظهار نظرهای غیر فنی و نادقیق راجع به این نرمافزار (از قبیل اینکه : تلگرام طلایی یک نسخه از تمامی چتها را به یک سرور خاص ارسال میکند و …) نه تنها کمکی به موضوع نمیکند بلکه شبهات و شایعهها را بیشتر میکند. این نگرانیها ما را بر آن داشت تا نرمافزار فوق را از منظر وجود کدهای مخرب مانند ابزارهای سرقت اطلاعات، سطح امنیت، و حفظ حریم خصوصی کاربران مورد بررسی قرار دهیم.
۲- موارد بررسی شده
تلگرام طلایی یک کلاینت تلگرام است و در ظاهر سرورهای مجزا ندارد بلکه از زیرساخت سرورهای تلگرام برای رد و بدل کردن پیام استفاده میکند. با بررسی بیشتر کلاینت، متوجه این امر شدیم که علاوه بر سرورهای رسمی تلگرام، تلگرام طلایی سرورهایی دارد که موبایل کاربر بهصورت ناخواسته با آنها ارتباط برقرار میکند. ارتباط بین تلگرام طلایی و سرورهای رسمی تلگرام و همچنین سرورهای تلگرام طلایی به صورت زیر است:
ابراهیمی مشکلات و نقصهای یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح میدهد و تاکید میکند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیونها کاربر است:
- امکان ارسال لیست تمام گروهها و رباتها که کاربر در آنها عضو است به سرورهای خود
- امکان ارسال لیست تمام کانالهایی که کاربر در آنها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
- امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نامکاربری آنها
- امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
- امکان دسترسی به کد Authentication تلگرام که با استفاده از آن میتوان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
- ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
- امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
- امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
- امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
- امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (میتواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)
پژوهش انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهینزاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است