چی بهتر از پیام رسانی که با آپدیت های منظم قابلیت های فوقالعاده ای رو اضافه میکنه و همیشه دغدغه امنیت کاربرانش رو داره؟
چی بهتر از پیام رسانی که سازندش مدام از اشکالات و نقض حریم خصوصی دیگران میگه و ادعا میکنه پیام رسانش این مشکلات رو رفع کرده؟
پیام، کوتاه است و ترسناک: پیام رسان محبوب شما امروز در حال خیانت به امنیت کاربرانشه! چطور؟ در ادامه با من همراه باشید...
نکته: منظور از کلاینت همون برنامه هایی هست که روی موبایل شما نصب میشن و شمارو به تلگرام متصل میکنن.
تلگرام مدام ادعای امنیت و حریم خصوصی رو مطرح میکنه و تا به امروز نقض پرایویسی مستقیمی از تلگرام دیده نشده اما شواهد نشون میده در یک نقطه اساسی و حساس، تلگرام با سلب مسئولیت از خودش عملا اجازه این کار رو به خیلی ها داده و مسئولیت مستقیم این خطرات متوجه کاربر، بر عهده تلگرام هست.
موبوگرام اولین کلاینت غیر رسمی بود که در ایران با قابلیت هایی مثل حالت روح و ... مطرح شد و رد پاش حتی در بین کاربران روسی هم دیده شد. از ابتدا شایعاتی مبنی بر ناامن بود موبوگرام شنیده شد تا زمانی که صدای تلگرام درومد و به موبوگرام مهلت داد تا حالت روح رو حذف کنه چراکه اون رو نقض قوانین خودش میدونست، موبوگرام هم برای بقای خودش این کار رو کرد اما آیا موبوگرام تنها کلاینتی بود که این کار رو میکرد؟ آیا حالت روح تنها نقض پرایویسی و قوانین تلگرام بود؟
بعد از فیلتر شدن تلگرام و ظهور کلاینت هایی با پروکسی داخلی (؟!) برای دور زدن فیلترینگ، موج جدیدی از بدافزار ها در قالب کلاینت تلگرام منتشر شدن که با اتصال به پروکسی های طلاگرام و هاتگرام، فیلترینگ رو دور میزدن و در کنارش به انواع و اقسام اقدامات مخرب میپرداختن...اد اجباری، سین زدن بدون اطلاع، دستکاری و فیلتر چنل های تلگرام فقط بخشی از اقدامات عزیزان بود که طی چند ماه رخ داد و میلیون ها کاربر رو آلوده کرد.
بازار اد اجباری به قدری داغ شد که افرادی با صرف هزینه ای کلاینت جعلی میساختن و اون رو میفروختن به سودجو ها تا از طریق اد اجباری و تبلیغات کسب درآمد کنن!
در ادامه چند نمونه از این فاجعه امنیتی رو با تصویر، بررسی کوتاهی (کپشن عکس ها) میکنیم و میریم سراغ بخش بعدی...
در اول مطلب گفتیم که تلگرام تحت قوانینی به این کلاینت ها دسترسی میده و بعد هم دیدیم که به سختی میشه قانونی پیدا کرد که این کلاینت ها رعایت کرده باشن! اما مسئولیت تلگرام چیه؟ آیا مسنجری که بیش از هرکسی در دنیا ادعای امنیت داره نباید دسترسی کلاینت های آلوده رو به API خودش قطع کنه و مدام اون هارو زیر نظر داشته باشه؟ در حالی که فقط یک کلاینت تلگرامی بیش از ۷ میلیون نفر رو آلوده کرده، چطور میشه همچین چیزی رو ندید؟ یادتون نره سودجو ها با دسترسی که تلگرام بهشون میده مردم رو آلوده میکنن.
باز بودن پلتفرم اون و اوپن سورس بودنش دلیلی بر عدم رصد فعالیت کسانی که بهشون دسترسی میده نیست!
قطعا موانع فنی و راه حل هایی برای سودجو ها هست تا بتونن محدودیت های احتمالی رو دور بزنن اما بهتر از وضعیت فعلیه که محدودیت خاصی اعمال نمیشه. هرکسی به راحتی میتونه بدون هیچ توضیحی به Core API دسترسی داشته باشه و کلاینت جدید بزنه!
اگر فکر میکنید با نصب نکردن این کلاینت ها در امانید، سخت در اشتباهید. کافیه یکی از اطرافیان شما شماره شمارو داشته باشه و کلاینتش لیست مخاطبین رو به سرور بفرسته و به همین راحتی شماره اکانت شما لو میره!
اما تلگرام باید چکار کنه و خواسته ما چیه؟
تلگرام میتونه با بستن دسترسی کلاینت های مخرب 'حداقل' سرعت گسترش اون هارو کند کنه.
تلگرام میتونه صراحتا به قربانی ها پیام بده و بگه کلاینتی که ازش استفاده میکنن آلوده هست.
تلگرام میتونه مثل توییتر و خیلی جاهای دیگه قبل از دادن دسترسی به هر شخص، از اون توضیح و تعهد بخواد.
تلگرام میتونه یک راه برای ریپورت کلاینت های مخرب ایجاد کنه و در نهایت
تلگرام میتونه اکانت کسانی که صاحب کلاینت های مخرب هستن رو بن و شماره اون هارو بلاک کنه...
این چند اقدام ساده میلیون ها نفر رو از خطری که الان درش قرار دارن نجات میده اما تلگرام به دلایلی اینکار رو نمیکنه...
حالا که تلگرام اینکار رو نمیکنه، من از شما درخواست میکنم با تولید محتوای فارسی و انگلیسی، منشن کردن و تماس با تلگرام ازشون بخواین که فکری به حال میلیون ها قربانی ایرانی بکنن. من آماده همکاری با هر نهاد و هر جایی هستم تا جلوی این بحران امنیتی گرفته بشه...
در نهایت اگر همچنان پاسخی از سمت تلگرام دریافت نشد، من گزارش فنی این ماجرا رو با جزئیات به زبان فارسی (کار مرکز ماهر) و انگلیسی منتشر میکنم.
اگر رسانه ای دارید این موضوع رو منتشر کنید تا به تلگرام فشار بیاریم امنیت کاربرانش رو تامین کنه.
ما در توییتر با هشتگ FakeTelegrams# فعال هستیم، به ما بپیوندید!