برخی از تلگرامهای رنگی یا همان غیر رسمی کماکان فعال هستند و بدون هیچ مشکلی فعالیت میکنند و گل سر سبد آنها در این روزها تلگرام طلایی است که همچنان در مارکتهای اندرویدی همچون کافهبازار وجود دارد و حواشی زیادی نیز تاکنون پیرامون هویت و نوع فعالیت آن پیش آمده است، از شایعه دولتی بودن آن تا بیانیه وزارت ارتباطات درباره هشدار استفاده از تلگرامهای غیرقانونی و شکایت عبدالصمد خرمآبادی و حتی شعر سرودن وی علیه تلگرام طلایی تنها چند مورد از این شایعههاست. اما در مورد امنیت تلگرام طلایی همیشه شبهات زیادی وجود داشته و چندی پیش تیمی سه نفره متشکل از کارشناسان امنیتی برخی از زویای این پیام رسان را موشکافی کردند و نظرات جالبی در مورد امنیت پلتفرم تلگرام طلایی منتشر ساختند.
شرکت دانشبنیان «راهکار سرزمین هوشمند» در مجموعه پارک علم و فناوری دانشگاه تهران صاحب امتیاز تلگرام طلایی است که محصولاتی چون موتور جستجوگر اخبار تینیوز و سایت رزرواسیون آنلاین هتل خانه مسافر هم از محصولات دیگرانشان است. مسئولان مجموعه تلگرام طلایی تاکید دارند که سرورهایشان از نوع سرورهای storage (ذخیره) نیست و مدلهای عملیاتی و پردازشی هستند و هیچ کپی از اطلاعات را در داخل ایران ذخیره نمیکنند.
با اینحال تحقیقات اخیر تاحدی این ادعاها را نقض میکند و یک مساله دیگر هم اینست که قانون تجارت الکترونیک کشور صریحا آمده که کسانی که در حوزه تجارت الکترونیک به شیوه پیامرسان کار میکنند باید اطلاعات 6ماه گذشتهشان را در یک جای امن نگهداری کنند.
«علیرضا ابراهیمی» کارشناس امنیت و نرم افزار یکی از این اعضای تیم بررسی کننده تلگرام طلایی است که در گفتگوی خود با میدونی درباره نحوه تحقیقشان و مسائل دیگری درباره تلگرام طلایی به تفصیل توضیح میدهد. ابراهیمی پژوهش و بررسی گروه خودشان را یک تحلیل ایستا میداند و باور دارد که نقض حریم خصوصی در تلگرام طلایی امکان دارد، اما اینکه آیا این مساله تا کنون توسط عوامل این مجموعه رخ داده یا خیر را نمیتوان مهر صد درصدی به آن زد:
«ممکن است که تاکنون هیچ دیتایی توسط آنها ذخیره سازی نشده باشد و عکس آن هم کاملا امکان پذیر است ولی تحقیق ما بیشتر روی موارد ناامن دیگر این برنامه بوده است. با این حال تقریبا به طور قاطع با توجه به تبلیغات و مشکلاتی که مشاهده کردیم میتوانیم بگوییم سرویس فرستادن لیست Contactها توسط این برنامه صورت گرفته است و همه شمارههای دفترچه تلفن کاربران خود را ذخیره کرده است.»
ابراهیمی میگوید که 256 IP وجود دارد که تلگرام طلایی هر بار درخواستی به یک آدرس ثابت میفرستد و پیامی رمزینه شده دریافت میکند و در آن پیام آدرس IP یک سرور پراکسی به اضافه یوزر نیم و پسورد و یک متغیر دیگر با نام TTL وجود دارد:
«TTL یا همان Time To Leave نشان میدهد که این سرور تا کی زنده است و مقدار آن معمولا پانزده دقیقه است و در نتیجه کلاینت تلگرام طلایی هر یک ربع یکبار با ارسال یک درخواست جدید، IP سرور پراکسی جدیدی را از آن خود میکند و پراکسی قبلی را از دسترس خارج میکند و احتمالا دوباره بعدها بازیافت یا همان احیا میشود.»
این کارشناس امنیت اطلاعات معتقد است که کلاینت تلگرام طلایی از طریق یک کانال سرور پراکسی به تلگرام اصلی وصل میشود و در آن مسیر دادههای اصلی تلگرام عبور میکند:
«دادهها وقتی وارد گوشی کاربر میشوند در آنجا باز میشوند و تلگرام طلایی یک سرور جدای HTTP دارد که این اطلاعات را میتواند از طریق این بستر برای جای دیگری بفرستد که هیچ ربطی به سرورهای تلگرام اصلی ندارند و مال خود تلگرام طلایی است. این بخش اگر از تلگرام طلایی حذف شود، هیچ خللی در کارش انجام نمیشود و وجود چنین قابلیتی که به نقض حریم خصوصی کاربر انجام میشود، غیر منطقی است.»
به گفته ابراهیمی تلگرام طلایی در داخل ایران CDN ندارد بلکه یک سری سرور پراکسی دارد و با آنها فعالیت خود را ادامه میدهد و از نظر امنیتی اینکه CDNای برای تلگرام طلایی وجود ندارد چندان مشکل ساز نیست چرا که فقط دادههای عمومی در CDN جمع میشود. او مشکلات و نقصهای یافته شده در تلگرام طلایی را به صورت تیتروار اینگونه توضیح میدهد و تاکید میکند ارائه این اطلاعات برای بدنام کردن مجموعه نیست و یک اطلاع رسانی برای بهبود امنیت هرچه بیشتر میلیونها کاربر است:
- امکان ارسال لیست تمام گروهها و رباتها که کاربر در آنها عضو است به سرورهای خود
- امکان ارسال لیست تمام کانالهایی که کاربر در آنها عضو است و اینکه آیا کاربر مدیر آن کانال است یا خیر
- امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نامکاربری آنها
- امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
- امکان دسترسی به کد Authentication تلگرام که با استفاده از آن میتوان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
- ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی
- امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری (بدون اطلاع کاربر)
- امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی (بدون اطلاع کاربر)
- امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال (بدون اطلاع کاربر)
- امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (میتواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)
با اینکه مسئولان تلگرام طلایی در گفتگو با روزنامه همشهری فروش استیکر را یکی از اصلیترین بیزینس پلنهای خود معرفی کردند اما ابراهیمی باور دارد که مدل درآمدزایی تلگرام طلایی از طرق مختلفی است:
«به عنوان مثال در کدهای این برنامه یک سری لینکهای URL تبلیغاتی دیدیم و یک سری خدمات پرداخت الکترونیک نیز در داخل کدها دیدیم که احتمالا در آینده برنامه این سیستم قرار دارد. ما شخصا چیزی از فروش دیتا و تبادل آنها ندیدیم ولی در هر حال هزینه سرورهای پراکسی در کنار کاربران بسیار زیاد آنها، هزینه قابل توجهی است و همچنین متخصصهای برنامهنویسی قویای در این مجموعه هستند که قطعا هزینههای خاص و بالایی را برای مجموعه دارند و نمیدانیم چطور این هزینهها تامین میشود.»
پژوهش انجام شده روی تلگرام طلایی توسط علیرضا ابراهیمی، یاشار شاهینزاده و حسن کرامت پور انجام شده و متن کامل و تفصیلی آن در این لینک منتشر شده است.