بررسی امنیت تلگرام طلایی ؛ سه پرده از امنیت طلگرام ضد فیلتر

امنیت تلگرام طلایی این روز‌ها بحث داغی است. این پیام رسان اپلیکیشنی است که نام تلگرام را یدک می‌کشد و از سوی دیگر از گزند فیلترینگ در امان مانده است. در این نوشتار امنیت تلگرام طلایی را به بوته نقد می‌کشانیم.

تلگرام طلایی، طلگرام یا تلگرام پیشرفته. نام یک نسخه غیررسمی از تلگرام است که مطابق آنچه شنیده شده است گویا حدودا 25 میلیون کاربر ایرانی در آن عضو هستند. چه آن زمان که بحث جایگزین تلگرام در ایران مطرح بود، چه زمانی که از پیام‌رسان‌های بومی می‌گفتند و چه حالا که نسخه‌های غیررسمی وارد بازی شده‌اند، امنیت تنها دغدغه بسیاری از مردم در انتخاب سرویس پیام‌رسان‌شان بوده است.

بیشتر بخوانید : تلگرام طلایی یا طلگرام ؛ هر آنچه از این نسخه غیررسمی تلگرام می‌دانیم

در باب امنیت تلگرام طلایی گفته‌ها زیاد است. در این مطلب سعی داریم داده‌های دقیق را بدون جانبداری جمع آوری کنیم و قضاوت را به مخاطبین بسپاریم. از هویت این اپلیکیشن و شرکت راهکار سرزمین هوشمند و ارتباطش با تلگرام و هاتگرام گرفته تا حریم خصوصی کاربرانش و امنیت سرور‌هایش موضوعاتی خواهد بود که در ادامه، تکراتو آنها را موشکافی خواهد کرد.

امنیت تلگرام طلایی ؛ سه پرده از تلگرام ضدفیلتر و غیررسمی ایرانی

برای بررسی امنیت تلگرام طلایی در ابتدا به دنبال پاسخ این پرسش می‌رویم که مالک این اپلیکیشن پیام رسان چه کسی است و چرا و چه حمایت‌هایی از آن شده است که تاکنون شامل قانون فیلترینگ نشده است؟ در ادامه بررسی خواهیم کرد که آیا تلگرام طلایی دقیقا مشابه سایر نسخه‌های غیررسمی است و تنها از سرورهای اصلی تلگرام برای مسنجرینگ استفاده می‌کند؟ در پایان نیز به برخی از قابلیت‌های موجود در تلگرام طلایی اشاره می‌کنیم که زمزمه‌ها مبنی بر سرقت اطلاعات توسط این اپلیکیشن را تقویت می‌کند.

پرده اول : تلگرام طلایی به کجا تعلق دارد؟

با توجه به داده‌های موجود سخت است که بتوانیم با قاطعیت یک پاسخ واحد انتخاب کنیم. رئیس کارگروه تعیین مصادیق مجرمانه تلگرام طلایی را به وزارت ارتباطات وابسته می‌داند. بسیاری از کاربران و کاشناسان، این نسخه غیررسمی را متعلق به شرکتی به نام “راهکار سرزمین هوشمند” می‌دانند، شرکتی که نام آن به عنوان مالک نسخه غیررسمی دیگری به نام هاتگرام به گوش می‌رسد. به علاوه حدودا ماه پیش بود که وزیر اطلاعات گفت : “تلگرام طلایی متعلق به جمهوری اسلامی ایران است. یک به یک این گفته‌ها را مرور می‌کنیم.

به نقل از تسنیم عبدالصمد خرم‌آبادی دبیر کارگروه تعیین مصادیق محتوای مجرمانه، در پاسخ به پرسش‌های بسیاری از خبرنگاران در یکی از ضفحات شخصی‌اش در فضا مجازی، درخصوص هویت دو اپلیکیشن هاتگرام و تلگرام طلایی و نیزعدم فیلتر بودن آنها نوشت:

هات‌گرام و طلاگرام پیام‌رسان نیستند. آنها در واقع دو فیلترشکن داخلی با مدیریت واحد هستند که به‌طور غیرقانونی و به‌خلاف دستور قضایی با امکانات وزارت ارتباطات دسترسی کاربران ایرانی را به شبکه اجتماعی فیلترشده “تلگرام” فراهم می‌کنند.

به‌نظر می‌رسد یکی از عللی که مدیر تلگرام به فیلتر آن در ایران اعتراض نکرد, این است که برخی از مسئولان فضای مجازی کشور اجازه دادند هات‌گرام و طلاگرام فیلتر تلگرام را دور بزنند و مانع از مهاجرت 70 درصد کاربران ایرانی به پیام‌رسان‌های داخلی شوند و از این طریق برای تلگرام زمان خریده‌اند.

در ادامه گفته‌های یک کاربر توئیتر را مرور می‌کنیم که معتقد است تلگرام طلایی و هاتگرام به شرکت “راهکار سرزمین هوشمند” تعلق دارد. به گفته او این شرکت در محل پارک علم و فناوری دانشگاه تهران مستقر است. @Abumahdi_Reza، این کاربر توئیتر، در یک رشته توئیت نوشت:

1. هرچند دستور قضائی مبنی بر مسدودسازی تلگرام، 11ازدیبهشت به تمام ارائه دهندگان خدمات اینترنتی ابلاغ شد، اما حضور دو بدل غیرفیلتر تلگرام در زمان طولانی پس از فیلترینگ تلگرام، باعث شک در خصوص همکاری این اپلیکیشن‌ها با نهادهای خاص شده است. #رشتو

2. با بررسی IP نسشت‌های فعال در نسخه‌های بدون فیلتر تلگرام، مشخص می‌شود شرکتی دانش‌بنیان با نام «راهکار سرزمین هوشمند» وظیفه طراحی و هدایت مردم به سمت نسخه‌های بدل تلگرام را برعهده دارد.

3. هرچند این شرکت در اپ‌استورها، نرم‌افزار هاتگرام را به عنوان محصول بدون فیلتر خود معرفی می‌کند، اما بررسی‌ها نشان می‌دهد تلگرام طلایی (طلاگرام)، اوپن‌گرام و تلگرام X قلابی نیز از محصولات این شرکت هستند که همگی بدون نیاز به فیلترشکن، دسترسی به تلگرام را هموار می‌سازند.

4. «راهکار سرزمین هوشمند» با مجوز رسمی شورای عالی انفورماتیک (زیرمجموعه معاونت برنامه‌ریزی ریاست جمهوری) و نظام صنفی رایانه‌ای فعالیت می‌کند، و در محل پارک علم و فناوری دانشگاه تهران مستقر است.

5. بررسی‌ها در خصوص این شرکت مشخص می‌کند که، مدیران و مسئولان وزارت ارتباطات تعامل و ارتباط گسترده‌ای با این شرکت دارند تا جایی که سلسله همایش‌های «ترافیک سفید» به صورت اختصاصی با همکاری وزارت ارتباطات و شرکت راهکار سرزمین هوشمند در 6 دانشگاه برگزار می‌شود.

6. همچنین مدیران وزارت ارتباطات در تعامل و همکاری با وزارت کار، سازمان صنعتی ملل متحد(یونیدو)، اجرای پروژه تولید محتوای دیجیتال و ویدیویی و برگزاری جشنواره‌های دیجیتال در استان مازندران را برعهده این شرکت خاص گذاشتند.

7. همچنین اعطای جایزه 450میلیون ریالی پارک علم و فناوری، در آستانه انتخابات 96، و اعطای وام یارانه‌ای وزارت ارتباطات برای پیشبرد اهداف فناوری از دیگر خوش‌خدمتی مدیران دولتی به این شرکت است.

8. اکنون سوال اینجاست، شرکتی که با حمایت مستقیم دولت رشد کرده و در مکان دولتی مستقر است، چگونه از قوانین کشور در خصوص مسدودسازی دسترسی به تلگرام سرپیچی کرده و همچنان مورد حمایت قرار می‌گیرد؟ #سیاسیت_دوگانه #فیلتر_تلگرام

از سوی دیگر ماجرا به نقل از دنیای اقتصاد، ابوالفضل حسن بیگی، نماینده دامغان در مجلس و عضو کمیسیون امنیت ملی و سیاست خارجی نیز چندی پیش گفت :

وزیراطلاعات در ضیافت افطاری اعضای کمیسیون امنیت ملی و سیاست خارجی و جمعی از نمایندگان مجلس عنوان کرد که تلگرام طلایی متعلق به جمهوری اسلامی ایران است و اکنون ۲۵ میلیون عضو دارد و قانونی است.

در مجموع به نظر می‌رسد آنچه کاربران برداشت کرده‌اند بهترین روایت و پاسخ برای این سوال است که هویت تلگرام طلایی چیست و به کجا تعلق دارد. پاسخ دیگری که در این مقال نمی‌گنجد ولی لزوم بررسی آن ضروری به نظر می‌رسد، وضعیت شرکت راهکار سرزمین هوشمند است. به نظر می‌رسد باید منابع مالی و وضعیت مدیریت این شرکت مورد واکاوی جدی قرار بگیرد. موضوعی که رئیس سازمان فناوری اطلاعات ایران نیز در مقیاس وسیع‌تر به آن تاکید کرد.

بیشتر بخوانید : مقابله با تلگرام با تقویت پیام رسان های داخلی ؛ تلگرام تهدیدی برای امنیت ملی

برخلاف آنچه کاربران فضای مجازی می‌گفتند، به نقل از عصر ایران رسول سرائیان، معاون وزیر ICT و رئیس سازمان فناوری اطلاعات ایران، می‌‌گوید هیچ امکاناتی در اختیار اپلکیشن‌های فارسی شده تلگرام قرار نگرفته است. سرائیان همچنین به این نکته اشاره کرد که وزارت ارتباطات مرجع صدورحکم و یا تصمیم گیری درباره فیلترینگ نیست. سرابیان در ادامه به نکته‌ای اشاره کرد که به نظر پاسخی است به این ادعا که سرورهایی از سوی وزارت ICT در اختیار تلگرام طلایی یا هاتگرام قرار گرفته است. معان وزیر ارتباطات گفت :

این وزارتخانه تاکنون هیچ سروری در اختیار تلگرام و یا نسخه های غیررسمی آن (فارسی) قرار نداده و هر آنچه امکانات داشته با ابلاغیه مرکز ملی فضای مجازی، در اختیار پیام رسان های بومی مجاز قرار گرفته است.

او همچنین در خصوص شفافیت نسخه‌های فارسی شده تلگرام نیز به ایرنا گفته است:

“وزارت ارتباطات و فناوری اطلاعات در صورت امتناع مدیران از شفاف سازی به سهم خود و برای صیانت از حریم خصوصی و حقوق شهروندی کاربران به عنوان مدعی و نماینده مردم موضوع را از مجاری قانونی پیگیری خواهد کرد.”

پرده دوم : آیا تلگرام طلایی واقعا یک نسخه غیررسمی است؟

نسخه‌های غیررسمی تلگرام ارتباط میان کاربران و مسنجرینگ را با استفاده از سرورهای تلگرام انجام می‌دهند. حال آنکه خرم‌آبادی دبیرکارگروه تعیین مصادیق محتوای مجرمانه در کانال تلگرامی خود از اختصاص 200 سرور به تلگرام طلایی خبر داده است. به نقل از خبرگزاری فارس او در این مطلب آورده است که وقتی تلگرام در ایران فیلتر شد برخی به سرعت برای کمک به این پیام رسان دست‌به کار شدند. وعده پیام رسان بومی به مردم داده شد که تلگرام طلایی را مانند دامی بر سر این وعده قرار دادند و به آن 200 سرور داده شده و به این وسیله تلگرام زنده مانده است.

Alireza‏ کاربری در توئیتر، در رشته توئیتی به سرورهای جداگانه تلگرام طلایی پرداخته است. او نوشت:

هفته اخیر رو داشتیم روی امنیت و حفظ حریم خصوصی تو #تلگرام_طلایی تحقیق می‌کردم. نتایجی که بدست اومد فاجعه بود. تو این رشتو خلاصه نتایج رو گذاشتم، لینک گزارش کامل فنی هم تو ویرگول هست.

۱. تلگرام طلایی به صورت دوره‌ای اطلاعات لوکیشن، مخاطبین، کانالهایی که کاربر توش عضوه، بات‌هایی که ازش استفاده می‌کنه، و سوپرگروه‌هایی که توش عضوه رو برای سرورهای خودش می‌فرسته

۲. تلگرام طلایی می‌تونه بدون اجازه کاربر اعمالی که از طرف سرور براش میاد رو انجام بده، اعمالی که فعلا می‌تونه انجام بده ایناست: اضافه و حذف مخاطب ها، عضو کردن کاربر از کانال خاص، حذف کاربر از کانال خاص، حذف کاربر از کانال در صورتی که مدیر کانال باشه، ریپورت یک کانال خاص

۳. فاجعه‌ترین کاری که تلگرام طلایی می‌کنه اینه که: کد authentication کاربر رو برای سرور خودش میفرسته، با اینکار این امکان برای دست اندر کاران تلگرام طلایی فراهم میشه که به اکانت هر کدوم از کاربرانشون وارد بشن.

۴. داستان البته از این فراتر بود و ما تحلیل رو متوقف کردیم تا زودتر گزارش رو تهیه کنیم. برای همین کد دیکامپایل شده رو تو گیت‌های خودم گذاشتم که هر کس که دوست داشت بیشتر بررسی کنه.

با این توضحات به نظر می‌رسد نمی‌توان تلگرام طلایی را بتوان مشابه سایر نسخه‌های غیررسمی دانست. حتی یک کاربر تویئتر با نام Kevin Miston که خود را محقق امنیت و حریم خصوصی معرفی می‌کند، مدعی شد که شرکت راهکار سرزمین هوشمند اقدام به انتشار پروکسی برای تلگرام می‌کند. این کار بر با انتشار تصاویری این ادعا را مطرح کرد. به توئیت‌ و گفتگوی او با کاربرها از جمله حساب رسمی تلگرام (Telegram Messenger) توجه کنید. Kevin Miston نوشت:

بعضی‌ها هم هستن که برای عبور از فیلترینگ و وصل شدن به تلگرام، میان به یه سری سرور پروکسی در داخل همون ایران وصل میشن… واقعا باید خون گریست! چرا از خودتون نمی‌پرسید که مگر دولت تلگرام رو فیلتر نکرده؟ پس این آی‌پی داخل ایران چیه که من دارم بهش وصل می‌شم برای پروکسی تلگرام؟

نمونه: اینکه شرکت دانش‌بنیان راهکار سرزمین هوشمند، به‌صورت رسمی این روزها میاد لیست پروکسی برای تلگرام بین مردم پخش می‌کنه و این کار چه سود و کارکردی براشون داره رو فکر نکنم لازم باشه بهش بپردازیم. بخشی از پروکسی‌ها متعلق به : Rahkar Smart Land Solutions Co. Ltd

اکانت رسمی تویئتر در پاسخ نوشت:

ساکس ۵ یا پروکسی‌های HTTP از ترافیک انکریپت شده MT-Proto عبور می‌کنند. سازندگان این پروکسی‌ها راهی برای رمزگشایی از داده‌ها ندارند. در این مورد ISP نیز وضعیت مشابهی دارد.

کاربر دیگری به نام @minipedram نوشت:

کوین اگه اشتباه میگم اصلاح کن. ولی مگه ارتباط ما با سرورای تلگرام انکریپتد نیست؟ هر چقدر هم پروکسی این وسط باشه یا man in the middle بزنن باز هم ترافیک قابل رمزگشایی نیست. اشتباه میکنم؟

Kevin Miston در پاسخ، با انتشار این لینک نوشت:

ترافیک چت‌های عادی در بستر MTProto قابل رمزگشاییه، اتفاقا در اینمورد چند وقت پیش مقاله‌ای هم منتشر شده…

کاربر دیگری با نام ∆ سایگلادیاتور با نوشتن ریپلای زیر وارد بحث شد:

مطمئنی چتای روی MT-pro قابل رمزگشایی هستش؟؟ این ادعای بزرگیه اگه اینطوری باشه خب چرا تلگرام رو فیلتر کردن از طریق همون ISP راحت میومدن همه پیامارو میخوندن دیگه! یعنی این همه مدت به پیامای مردم دسترسی داشتن! از تو بعیده ها کوین

که در پاسخ با لینک ویدیو کنفرانس دف‌کان ۲۰۱۷ مواجه شد و شنید:

این موضوع رو کوین از جیبش در نیاورده، لینک گذاشتم… ضمن اینکه توجه داشته باش چت‌های در بستر پروتکل MTProto تلگرام، کلاینت به سرور و سرور به کلاینت رو رمزگذاری می‌کنه؛ e2ee کلاینت به کلاینت نیست که نتونن چت‌ها رو بخونن.

Telegram Messenger در پاسخ به این ادعا مشکل را به باگ موجود در دستگاه‌های اندرویدی متوجه دانست و نوشت:

موضوع مطرح شده در اینجا به باگ موجود در اندروید کاربر برمی‌گردد (مشکلی متوجه MT-Proto نیست) که در همان زمان که این مقاله/ویدیو منتشر شده بود (سال 2016) مرتفع شد.

هرچند به قول کاربری با نام آقای مهربون مشکلی متوجه سرورهای MTProto نیست، اما آنچه با اینجا به آن می‌پردازیم انتشار پروکسی توسط تلگرام طلایی در میان کاربران است. موضوعی که Kevin به درستی به آن اشاره کرده است و در بررسی امنیت تلگرام طلایی بسیار حائز اهمیت است. آقای مهربون نوشت:

کوین جان، مقاله رو با دقت خوندی؟ دوتا محو اصلی داره، اولی obfuscation که ربطی به امنیت پیام ها نداره و درباره‌ی censorship پیام ها بحث کرده و دوم یه باگ بوده در نسخه 3.16 تلگرام اندروید که رفع شده. هیچ جای اون به آسیب پذیری MTPoroto که منجر به دکریپت کردن پیام ها بشه اشاره نشده.

نکته دیگری که شاید نشان می‌دهد تلگرام طلایی آنچنان هم که مدعی است با سرورهای تلگرام ارتباط ندارد، فیلتر شدن برخی کانال ‌ها در این اپلیکیشن است. تکراتو به این موضوع نمی‌پردازد که چه کانال‌هایی و چرا فیلتر شده‌اند، آنچه برای ما مهم است این است که کانال‌هایی که از قوانین تلگرام پیروی می‌کنند و مسدود نیستند از دسترس کاربران تلگرام طلایی خارج شده است.

این موضوعی است که خود نشان‌دهنده تفاوت میان سرور‌های اصلی تلگرام و تلگرام طلایی است. برای نمونه به یکی از مواردی که کاربری با نام مستعار (و جالب) حاج قلندر به آن اعتراض دارد، اشاره می‌کنیم. این کاربر خطاب به وزیر ICT نوشت:

آقای جهرمی! دفاع از انقلاب و ارزش ها فقط به پیاده روی اربعین و ریش گذاشتن و راهپیمایی شرکت کردن نیست گرچه لازم است، اما کافی نیست عملکرد شما در مورد هاتگرام و تلگرام طلایی و فیلتر کانال #توییتگرام و عدم فیلتر بی بی سی فارسی چیز دیگری میفهماند @azarijahromi

پرده سوم : تلگرام طلایی پتانسیل سرقت اطلاعات را دارد!

بررسی‌های نشان می‌دهد که مفاهیمی “حریم خصوصی” و “گردش آزاد اطلاعات” و داده‌های محرمانه کاربران می‌شناسیم بددون تردید مواردی نیستند که در تلگرام طلایی رعایت شوند. مطابق بررسی‌هایی که در ادامه به آنها خواهیم پرداخت، تلگرام طلایی سرورهایی کامل مجزا از سرورهای اصلی تلگرام در اختیار دارد.

قابلیت‌هایی در این اپلیکیشن پیام رسان وجود دارد که زمزمه‌های مبنی بر سرقت اطلاعات و انجام اعمال ناخواسته و بدون اطلاع کاربر در آن را تقویت می‌کند. حتی کار تا جایی پیش می‌رود که این اپ می‌تواند بدون اجازه کاربر توسط دستگاه او URLهای خاصی را باز کند.

---

بیشتر بخوانید : ثبت نام ناخواسته در سروش ؛ آیا کاربران پیام‌رسان سروش جعلی هستند؟

---

یک محقق امنیت و کاربر توئیتر با نام @YShahinzadeh یک رشته توئیت بلند بالا در زمینه امنیت تلگرام طلایی منتشر کرده است که توجه شما را به آن جلب می‌کنیم. این کاربر با انتشار تصاویری نوشت:

این #رشتو مربوط به تحلیلی بررسی امنیت و رعایت حریم خصوصی تلگرام طلایی است. با بررسی‌های اولیه مشخص گردید که #تلگرام_طلایی با دو دسته سرور در ارتباط است: ۱. سرورهای رسمی تلگرام ۲. سرورهای تلگرام طلایی همچنین مشخص شد داده‌هایی را بدون اطلاع کاربر ارسال می‌کند. ۱۸/۱

موارد زیر در تحلیل تلگرام طلایی بررسی شده‌اند: ۱. بررسی کد جاوا کلاینت تلگرام طلایی ۲. بررسی کتابخانه ++C تلگرام رسمی ۳. بررسی کانال ارتباطی با سرورهای رسمی تلگرام ۴. بررسی کانال ارتباطی با سرورهای تلگرام طلایی ۱۸/۲

پس از بررسی کد جاوای تلگرام طلایی قابلیت‌های متعددی برای سرقت اطلاعات و انجام اعمال ناخواسته کاربر در این نرم‌افزار کشف شد که با چند سرور خاص (مانند http://hotgram.ir) در ارتباط بود و داده‌هایی حیاتی را به این سرورها ارسال می‌کرد. ۱۸/۳

برخی از این قابلیت‌ها اطلاعات شخصی کاربر را ارسال می‌کنند و برخی دیگر از طرف کاربر عملیات خاصی را اجرا می‌کنند. در ادامه به تعدادی از این قابلیت‌ها اشاره می‌شود. موارد ارسال اطلاعات شخصی عبارت است از: ۱۸/۴

۱. می‌تواند لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است را به سرورهای خود ارسال کند. در این قابلیت، حریم شخصی نقش می‌شود. ۱۸/۵

۲. امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟ در این قابلیت، حریم شخصی نقش می‌شود. ۱۸/۶

۳. امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها در تلگرام. با توجه به تلگرام طلایی تنها یک کلاینت هست، چنین عملی را نباید انجام دهد، البته توجیه خاصی برای این عمل نیز وجود دارد. ۱۸/۷

۴. امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی. استدلال برای این عمل نیز مانند قابلیت قبلی است. ۱۸/۸

---

بیشتر بخوانید : کشف یک آسیب پذیری خطرناک امنیتی ؛ سرقت اطلاعات و استفاده از آنها

---

۵. امکان سرقت کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد. این عمل دقیقا مصداق بارز جرم و نقض حریم خصوصی است. ۱۸/۹

۶. ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی. در صورت استفاده کاربر از پروکسی غیر پیشفرض تلگرام طلایی، آن را ارسال کرده و در اسرع وقت ای.پی پروکسی فیلتر می‌شود. ۱۸/۱۰

تلگرام طلایی اعمالی را بدون اینکه کاربر در جریان آنها باشد از جانب ایشان انجام می‌دهد. در ادامه به برخی از این اعمال اشاره می‌شود. ۱۸/۱۱

۱. امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری. ۲. امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی. ۳. امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال. ۱۸/۱۲

۴. امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود). با توجه به اینکه ترافیک کاربر در این قسمت بدون اجازه وی مصرف می‌شود، مصداق بارز جرم است. ۱۸/۱۳

منابع کد: تلگرام طلایی، نسخه ۵.۳.۵ و ۵.۴.۲ – لینک کد Decompile شده و برنامه APK در https://github.com/alireza-ebrahimi/telegram-talaeii… تلگرام رسمی، کامیت e9e40cb واقع در https://github.com/DrKLO/Telegram ۱۸/۱۴

بررسی و تحلیل کد جاوا تلگرام طلایی (نقض امنیت و حریم خصوصی) تهیه شده توسط @ali_reza_ebrahi و @HKeramatpour و بنده. این تحلیل کاملا فنی بوده و خوشحال می‌شیم اگه مشکلی در آن هست به ما اطلاع دهید.

نتیجه؟ با توجه به تصویب و پیاده‌سازی #GDPR در اتحادیه اروپا و اهمیت حریم شخصی کاربران اینترنت، انتظار می‌رود که وزیر محترم راه‌کارهایی برای مقابله با چنین ابزارهایی و برنامه‌هایی برای بهبود رعایت حریم خصوصی داشته باشند. ۱۸/۱۸ @azarijahromi

Alireza Ghahrood کاربر لینکداین است که در خصوص قابلیت‌های تلگرام طلایی در زمینه سرقت اطلاعات نوشته بود:

قابلیت‌های سرقت اطلاعات شخصی:

“می‌تواند لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است را به سرورهای خود ارسال کند امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟ امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی امکان سرقت کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد. ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی.”

سخن آخر اینکه همانطور که در ابتدا گفتیم در این نوشتار سعی کردیم تنها داده‌های مورد نیاز برای قضاوت در مورد امنیت تلگرام طلایی را در اختیار مخاطب قرار دهیم. آنچه در این مطلب بیان شد به طور خلاصه این بود که تلگرام طلایی فارغ از استفاده از سرورهای اصلی تلگرام خود نیز به سرورهایی مجهز است.

تلگرام طلایی متعلق به شرکت راهکار سرزمین هوشمند، مستقر در پارک علم و فناوری دانشگاه تهران است. از نظر امنیت نیز باید به این مورد اشاره کرد که این اپلیکیشن قابلیت انجام اعمال ناخواسته و بدون نظارت و اجازه کاربر را دارد و حتی می‌تواند به صفحات وب مشخصی توسط دستگاه کاربر مراجعه کند.

بیشتر بخوانید:

• تلگرام طلایی در نگاه کاربران ؛ تلگرام، شریک دزد و رفیق قافله؟
• بلاک چین چیست ؛ همه چیز در مورد تاریخچه، امنیت و نحوه کار بلاک چین (Blockchain)
• آموزش افزایش امنیت تلگرام ؛ چگونه تلگرام خود را امن‌تر کنیم
• امنیت پیام رسان سروش در هاله‌ای از ابهام ؛ کاربران چه می‌گویند؟

.

منیع : techrato