یاشار شاهینزاده - وقت کنم فارسی مینویسم.
گزارش تحلیلی بررسی امنیت و رعایت حریم خصوصی تلگرام طلایی
از دسترس خارج شدن تلگرام در سال ۹۶، فرصت مناسبی برای رشد پیامرسانهای ایرانی به شمار میرفت. در این میان به جز پیامرسانهای ایرانی برخی کلاینتهای غیر رسمی تلگرام نیز رشد قابل توجهی داشتند. تلگرام طلایی که شاید محبوبترین کلاینت غیررسمی تلگرام بعد از فیلتر شدن آن باشد، به گفته یکی از اعضای کمیته تعیین مصادیق مجرمانه حدود ۲۵ میلیون نفر کاربر دارد. که البته عبارت دقیقتر این است که ۲۵ میلیون نفر از برنامه تلگرام طلایی برای اتصال به سرورهای تلگرام استفاده میکنند.

۱- چرا تلگرام طلایی را بررسی کردیم؟
تلگرام طلایی حدود ۲۵ میلیون کاربر دارد و چندین بار در سال بروزرسانی میشود با این وجود هیچ شرکت یا نهاد دولتی و خصوصی مسئولیت توسعه و پشتیبانی آن را برعهده ندارد. هیچ سایت یا Licensing Agreement ندارد. این میزان ناشناس بودن توسعه دهندگان و مالکان حقوقی نگرانیهایی درباره غیرقانونی بودن فعالیتهای این برنامه ایجاد میکند. همچنین، برخی از اظهار نظرهای غیر فنی و نادقیق راجع به این نرمافزار (از قبیل اینکه : تلگرام طلایی یک نسخه از تمامی چتها را به یک سرور خاص ارسال میکند و ...) نه تنها کمکی به موضوع نمیکند بلکه شبهات و شایعهها را بیشتر میکند. این نگرانیها ما را بر آن داشت تا نرمافزار فوق را از منظر وجود کدهای مخرب مانند ابزارهای سرقت اطلاعات، سطح امنیت، و حفظ حریم خصوصی کاربران مورد بررسی قرار دهیم.
۲- موارد بررسی شده
تلگرام طلایی یک کلاینت تلگرام است و در ظاهر سرورهای مجزا ندارد بلکه از زیرساخت سرورهای تلگرام برای رد و بدل کردن پیام استفاده میکند. با بررسی بیشتر کلاینت، متوجه این امر شدیم که علاوه بر سرورهای رسمی تلگرام، تلگرام طلایی سرورهایی دارد که موبایل کاربر بهصورت ناخواسته با آنها ارتباط برقرار میکند. ارتباط بین تلگرام طلایی و سرورهای رسمی تلگرام و همچنین سرورهای تلگرام طلایی به صورت زیر است:

حال برای بررسی تلگرام طلایی باید موارد زیر مورد بررسی قرار بگیرند:
- بررسی کد جاوا کلاینت تلگرام طلایی به دنبال اعمال خلاف قوانین
- بررسی کتابخانه ++C تلگرام رسمی به دنبال تغییرات احتمالی اعمال شده
- بررسی کانال ارتباطی با سرورهای رسمی تلگرام به دنبال روشهای شنود و یا دستکاری اطلاعات
- بررسی کانال ارتباطی با سرورهای تلگرام طلایی به دنبال روشهای شنود و یا دستکاری اطلاعات
این موارد جداگانه بررسی شده و برای مشاهده جزئیات روش بررسی، نتایج فنی و . . . میتوانید به پستهای مربوطه مراجعه کنید.
۳- نتایج بررسی تلگرام طلایی
پس از بررسی کد جاوای تلگرام طلایی قابلیتهای متعددی برای سرقت اطلاعات و انجام اعمال ناخواسته کاربر در این نرمافزار کشف شد که با چند سرور خاص (مانند hotgram.ir) در ارتباط بود و دادههایی حیاتی را به این سرورها ارسال میکرد. برخی از این قابلیتها اطلاعات شخصی کاربر را ارسال میکنند و برخی دیگر از طرف کاربر عملیات خاصی را اجرا میکنند. در ادامه به تعدادی از این قابلیتها اشاره شده است. برای اطلاعات کاملتر در این زمینه و لیست سرورهایی که به صورت مخفی اطلاعات کاربران برای آنها ارسال میشود به گزارش بررسی کد جاوا کلاینت تلگرام طلایی مراجعه کنید.
قابلیتهای سرقت اطلاعات شخصی:
- میتواند لیست تمام گروهها و رباتها که کاربر در آنها عضو است را به سرورهای خود ارسال کند
- امکان ارسال لیست تمام کانالهایی که کاربر در آنها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟
- امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نامکاربری آنها
- امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
- امکان سرقت کد Authentication تلگرام که با استفاده از آن میتوان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
- ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی.
اعمالی که بدون اطلاع کاربر از طرف او انجام میدهد:
- امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری
- امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی
- امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال
- امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (میتواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)
متاسفانه یا خوشبختانه توسعهدهندگان این نرمافزار افرادی غیر حرفهای بودهاند و اشتباهات امنیتی را مرتکب شدهاند. به عنوان مثال راه ارتباطی ارسال اطلاعات به سرورها بدون هر نوع رمزنگاری و کدگذاری است. بنابراین هر کسی میتواند با شنود شبکه، به راحتی اطلاعات شخصیای که به سرورهای تلگرام طلایی ارسال میشوند را ببیند. این یعنی تلگرام طلایی بستری ناامن را برای کاربران و خود فراهم کرده است که هکرهای میتوانند با حمله به این پروتکل ارتباطی ضعیف، علاوه بر سرقت اطلاعات، اعمال مخربی را از سوی کاربران و تلگرام طلایی انجام دهند.
با مقایسه نسخههای مختلف تلگرام طلایی متوجه شدیم که سرویسهای مختلف به تدریج و در نسخههای مختلف به تلگرام طلایی اضافه شدهاند. همچنین در نسخههای جدیدتر تلاشهایی برای مخفی کردن و مبهمسازی کدهای مخرب صورت گرفته بود.
در انتها میتوان گفت که با یکی از بزرگترین ابزارهای جاسوسی و یکی از بزرگترین Botnetهای تاریخ ایران مواجه هستیم که غیر حرفهای نوشته شده است. استفاده از تلگرام طلایی به هیچوجه توصیه نمیشود.
۴- ضمیمه
سوالات متداول دیگر
- آیا تلگرام طلایی و تلگرام دو برنامه کاملا جدا هستند؟ خیر! تلگرام طلایی یک کلاینت تلگرام است و به سرورهای اصلی تگرام متصل میشود. تلگرام طلایی از پروکسیهای متعددی برای انتقال دادهها و پیامها استفاده میکند اما در نهایت از زیرساخت تلگرام برای پیامرسانی استفاده میکند.
- تلگرام طلایی چگونه فیلتر را دور میزند؟ تلگرام طلایی از تعداد زیادی پروکسی سرور موقت برای عبور از فیلتر استفاده میکند که برای کسب اطلاعات بیشتر در مورد رفتار ضدفیلتر این برنامه میتوانید به گزارش تکمیلی بررسی و تحلیل کانال ارتباطی مراجعه کنید.
- چرا تعداد کاربران تلگرام طلایی ۲۵ میلیون تخمین زده شده در حالیکه تنها ۱۰ میلیون نفر در کافه بازار این نرمافزار را دانلود کردهاند؟ آیا به زور کاربران را عضو تلگرام طلایی میکنند؟ خیر! کافه بازار تنها مرجع رسمی دانلود نرمافزار نیست. مراجع دیگری (مانند iranapps.ir و . . .) نیز هستند که باید در تعداد دانلود لحاظ شوند. تعداد نصب در دستگاههای با سیستم عامل iOS و همچنین تعداد دانلود از مراجع غیررسمی مانند هزاران سایت اینترنتی که فایل apk این نرمافزار را در اختیار عموم قرار دادهاند باید در این تخمین لحاظ شوند. تخمین ۲۵ میلیون ممکن است درست باشد. اینکه به زور کاربران را عضو کردهاند یک تحلیل سطحی و غیرفنی است.
منابع
- تلگرام طلایی، نسخه ۵.۳.۵ و ۵.۴.۲ - لینک کد Decompile شده و برنامه APK در https://github.com/alireza-ebrahimi/telegram-talaeii
- تلگرام رسمی، کامیت e9e40cb واقع در https://github.com/DrKLO/Telegram
لینک گزارشهای تکمیلی
- بررسی و تحلیل کد جاوا تلگرام طلایی (نقض امنیت و حریم خصوصی) -> http://vrgl.ir/pLlXf
- بررسی و تحلیل کانال ارتباطی بین تلگرام طلایی و سرورهای رسمی تلگرام (امکان شنود در مسیر ارتباطی) -> به زودی منتشر میشود
- بررسی امکان حمله به کانال ارتباطی بین کلاینت تلگرام طلایی و سرورهای تلگرام طلایی -> به زودی منتشر میشود.
کاری از
یاشار شاهینزاده، راه ارتباطی؟ Twitter
علیرضا ابراهیمی، راه ارتباطی؟ Twitter
حسن کرامت پور، راه ارتباطی؟ LinkedIn
دستشون و دستتون درد نکنه که اثبات کردید.
روبیکا هم دغدغه خیلی هاست.
اگه بررسیش کنید فکر کنم خالی از لطف نباشه به جماعت زیادی کمک کردید.
اگر حاضر می شدن اطلاعات افراد ترویست و رهگیری آنها را به مراکز امنیتی بدن ، یعنی یه همکاری با مراکز امنیتی داشته باشند عالی می شد .
طلاگرام دو سه سال پیش آمده و وابسته به هیچ جا نبوده . بعد الان یهو می گند که مال سپاه هست و یا مال وزارت اطلاعات هست .
اگرم باشه من به شخصه به این دو مرکز اعتماد کامل دارم .
در طول تاریخ هیچ وقت خارجی ها برای ما برادری نکردم . سابقه روابط ایران انگلیس در تاریخ گواهی این موضع هست .
پس اگر هم مال سپاه و یا وزارت اطلاعات باشه مشکل امنیتی نیست یعنی مشکل نیست .
یا علی.
در کل نتیجه نظارتی که روی طلاگرام هست بد نیست .
برای من تابحال لینکی ناخواسته و باز نشده .
من خودم موبوگرام خریداری کرده بودم استفاده می کردم ولی خوب از کار افتاد.
خدا به همه ما عقل دهد .
از این به بعد، اگر تلگرام حکم دادگاهی مبنی بر اینکه کاربری یک تروریست است دریافت کند، آیپی و شمارۀ تلفن او را گزارش میکند؛ که البته تاکنون رخ ندادهاست.
https://telegram.org/privacy#8-3-law-enforcement-authorities
برای نقد کردند باید تعصب را کنار گذاشت!
چیزی که قابل فروشه اطلاعات جمعی
مثل این که الآن مردم چه آهنگی بیشتر گوش میکنن یا طرفدارای کدوم حزب سیاسی بیشترن یا مردم کدوم رنگ رو بیشتر دوست دارن
این اطلاعات میتونه برای تهیه کننده های موسیقی یا بررسی نتیجه موج های تبلیغاتی یا تولید پوشاک مورد استفاده قرار بگیره
حتی گوگل هم اطلاعاتی که از شما جمع میکنه برای نمایش تبلیغاتشه
مثلا به من که مدیرسیستم ام تبلیغ سرور و اینها نشون میده در صورتی که ممکنه به شما تا حالا اصلا همچین چیزی نشون داده نباشه
درسته این برنامه ها تقریبا به همه چی گوشی دسترسی دارن
ولی کار منطقی نیست که بیان میکروفون گوشی شما رو از بین چندین میلیون نفر شنود کنن یا اطلاعاتتون رو به جایی که میخواید استخدام بشید بدن
چیزی که اونها میخوان یه تصویریه که شما فقط یه پیکسل از اونید
نمیشه گفت اپی که دسترسی به sdcard میگیره عکسای آدمو میخونه یا اپی که دسترسی به دوربین میگیره از آدم جاسوسی می کنه
صرف داشتن قابلیت یک کار دلیل بر انجام دادنش نیست
صرفا یک چند پیکسل margin دادید و وقتی تعداد نظرات روی یک نظر زیاده بشه قابل تشخیص نیست
به نظرم ابتدای نظر بنویسید در پاسخ به نظر فلانی...
ممنون از نظرتون
پس این وسط هر کلاینت یا سروری که میخواد پیام های کاربر رو بگیره, حتا کلید عمومی رو هم داشته باشه.
مگه غیر از این نیست که فقط خوده تلگرام و اون هم به خاطر داشتن کلیدخصوصی میتونه اطلاعات رو رمزگشایی و باز بکنه؟
پس سرور تلگرام طلایی چطور میتونه اطلاعات رو باز بکنه در صورتی که کلید خصوصی نداره؟
یعنی چی؟
مرسی.
یعنی تلگرام طلایی بدون هیچ محدودیتی به پیام ها و فایل ها و اطلاعات کاربر دسترسی پیدا میکنه.
بعد همون پیام ها رو میفرسته.
اگه اشتباه نکنم هم توو مقالتون گفتید که بدون هیچ رمزنگاری هم پیام ها رو به سرورهاش ارسال میکنه.
ایا با ذخیره اطلاعات در سرور های هاتگرام و تلگرام طلایی اون پیام ها اینکریپت میشن؟
کاری که متاسفانه می بینیم تو کشورمون کم انجام نمی شه
بنظر بنده تلگرام طلایی خیلی اطلاعاتی و در خفا عمل کرد. امنیت یک فرآیند هستش که باید همیشه مد نظر داشته باشیم. یه سایت به آدرس https://shekaf.org/ دیدم که واقعا جالب داره مباحث امنیتی رو مورد بررسی قرار میده