حساب کاربری ندارید؟ ثبت نام کنید

تلگرام طلایی را لغو نصب کنید، امنیت مبهم از نظر کارشناسان

بیش از یک ماه پیش در ترنجی خواندیم که تلگرام طلایی چیست؟ چرا تلگرام بدون فیلتر iOS و اندروید با آن میسر بوده و به چه نهادی وابسته است؟ کمی پس از آن نیز خواندیم که نسخه فیلترشکن تگلرام و نسخه های غیر رسمی را نصب نکنید! این هشدار وزارت ارتباطات بود. حالا اما می خواهیم دقیقا بدانیم چرا نباید تلگرام طلایی را نصب کنیپ و اگر نصب کرده اید چرا باید تلگرام طلایی را لغو نصب کنید؟ در ادامه با ترنجی همراه باشید.

گزارش تحلیلی بررسی امنیت و رعایت حریم خصوصی تلگرام طلایی

از دسترس خارج شدن تلگرام در سال ۹۶، فرصت مناسبی برای رشد پیام‌رسان‌های ایرانی به شمار می‌رفت. در این میان به جز پیام‌رسان‌های ایرانی برخی کلاینت‌های غیر رسمی تلگرام نیز رشد قابل توجهی داشتند. تلگرام طلایی که شاید محبوب‌ترین کلاینت غیررسمی تلگرام بعد از فیلتر شدن آن باشد، به گفته یکی از اعضای کمیته تعیین مصادیق مجرمانه حدود ۲۵ میلیون نفر کاربر دارد. که البته عبارت دقیق‌تر این است که ۲۵ میلیون نفر از برنامه تلگرام طلایی برای اتصال به سرورهای تلگرام استفاده می‌کنند.

تلگرام طلایی

تلگرام طلایی

تلگرام طلایی

۱- چرا تلگرام طلایی را بررسی کردیم؟

تلگرام طلایی حدود ۲۵ میلیون کاربر دارد و چندین بار در سال بروزرسانی می‌شود با این وجود هیچ شرکت یا نهاد دولتی و خصوصی مسئولیت توسعه و پشتیبانی آن را برعهده ندارد. هیچ سایت یا Licensing Agreement ندارد. این میزان ناشناس بودن توسعه دهندگان و مالکان حقوقی نگرانی‌هایی درباره غیرقانونی بودن فعالیت‌های این برنامه ایجاد می‌کند. همچنین، برخی از اظهار نظرهای غیر فنی و نادقیق راجع به این نرم‌افزار (از قبیل اینکه : تلگرام طلایی یک نسخه از تمامی چت‌ها را به یک سرور خاص ارسال می‌کند و …) نه تنها کمکی به موضوع نمی‌کند بلکه شبهات و شایعه‌ها را بیشتر می‌کند. این نگرانی‌ها ما را بر آن داشت تا نرم‌افزار فوق را از منظر وجود کدهای مخرب مانند ابزارهای سرقت اطلاعات، سطح امنیت، و حفظ حریم خصوصی کاربران مورد بررسی قرار دهیم.

۲- موارد بررسی شده

تلگرام طلایی سرورهایی دارد که موبایل کاربر به‌صورت ناخواسته با آن‌ها ارتباط برقرار می‌کند

تلگرام طلایی یک کلاینت تلگرام است و در ظاهر سرورهای مجزا ندارد بلکه از زیرساخت سرورهای تلگرام برای رد و بدل کردن پیام استفاده می‌کند. با بررسی بیشتر کلاینت، متوجه این امر شدیم که علاوه بر سرورهای رسمی تلگرام، تلگرام طلایی سرورهایی دارد که موبایل کاربر به‌صورت ناخواسته با آن‌ها ارتباط برقرار می‌کند. ارتباط بین تلگرام طلایی و سرورهای رسمی تلگرام و همچنین سرورهای تلگرام طلایی به صورت زیر است:

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

حال برای بررسی تلگرام طلایی باید موارد زیر مورد بررسی قرار بگیرند:

بررسی کد جاوا کلاینت تلگرام طلایی به دنبال اعمال خلاف قوانین
بررسی کتابخانه ++C تلگرام رسمی به دنبال تغییرات احتمالی اعمال شده
بررسی کانال ارتباطی با سرورهای رسمی تلگرام به دنبال روش‌های شنود و یا دستکاری اطلاعات
بررسی کانال ارتباطی با سرورهای تلگرام طلایی به دنبال روش‌های شنود و یا دستکاری اطلاعات
این موارد جداگانه بررسی شده و برای مشاهده جزئیات روش بررسی، نتایج فنی و . . . می‌توانید به پست‌های مربوطه مراجعه کنید.

۳- نتایج بررسی تلگرام طلایی

پس از بررسی کد جاوای تلگرام طلایی قابلیت‌های متعددی برای سرقت اطلاعات و انجام اعمال ناخواسته کاربر در این نرم‌افزار کشف شد که با چند سرور خاص (مانند hotgram.ir) در ارتباط بود و داده‌هایی حیاتی را به این سرورها ارسال می‌کرد. برخی از این قابلیت‌ها اطلاعات شخصی کاربر را ارسال می‌کنند و برخی دیگر از طرف کاربر عملیات خاصی را اجرا می‌کنند. در ادامه به تعدادی از این قابلیت‌ها اشاره شده است. برای اطلاعات کامل‌تر در این زمینه و لیست سرورهایی که به صورت مخفی اطلاعات کاربران برای آن‌ها ارسال می‌شود به گزارش بررسی کد جاوا کلاینت تلگرام طلایی مراجعه کنید.

قابلیت‌های سرقت اطلاعات شخصی توسط تلگرام طلایی:

1- می‌تواند لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است را به سرورهای خود ارسال کند
2- امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟
3- امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
4- امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
5- امکان سرقت کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
6- ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی.

اعمالی که تلگرام طلایی بدون اطلاع کاربر از طرف او انجام می‌دهد:

1- امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری
2- امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی
3- امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال
4- امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

بنابراین هر کسی می‌تواند با شنود شبکه، به راحتی اطلاعات شخصی‌ای که به سرورهای تلگرام طلایی ارسال می‌شوند را ببیند.

متاسفانه یا خوشبختانه توسعه‌دهندگان این نرم‌افزار افرادی غیر حرفه‌ای بوده‌اند و اشتباهات امنیتی را مرتکب شده‌اند. به عنوان مثال راه ارتباطی ارسال اطلاعات به سرورها بدون هر نوع رمزنگاری و کدگذاری است. بنابراین هر کسی می‌تواند با شنود شبکه، به راحتی اطلاعات شخصی‌ای که به سرورهای تلگرام طلایی ارسال می‌شوند را ببیند. این یعنی تلگرام طلایی بستری ناامن را برای کاربران و خود فراهم کرده است که هکرهای می‌توانند با حمله به این پروتکل ارتباطی ضعیف، علاوه بر سرقت اطلاعات، اعمال مخربی را از سوی کاربران و تلگرام طلایی انجام دهند.

با مقایسه نسخه‌های مختلف تلگرام طلایی متوجه شدیم که سرویس‌های مختلف به تدریج و در نسخه‌های مختلف به تلگرام طلایی اضافه شده‌اند. همچنین در نسخه‌های جدیدتر تلاش‌هایی برای مخفی کردن و مبهم‌سازی کدهای مخرب صورت گرفته بود.

در انتها می‌توان گفت که با یکی از بزرگترین ابزارهای جاسوسی و یکی از بزرگترین Botnetهای تاریخ ایران مواجه هستیم که غیر حرفه‌ای نوشته شده است. استفاده از تلگرام طلایی به هیچ‌وجه توصیه نمی‌شود.

تلگرام طلایی را لغو نصب کنید

تلگرام طلایی را لغو نصب کنید

۴- ضمیمه

سوالات متداول دیگر

آیا تلگرام طلایی و تلگرام دو برنامه کاملا جدا هستند؟

خیر! تلگرام طلایی یک کلاینت تلگرام است و به سرورهای اصلی تگرام متصل می‌شود. تلگرام طلایی از پروکسی‌های متعددی برای انتقال داده‌ها و پیام‌ها استفاده می‌کند اما در نهایت از زیرساخت تلگرام برای پیام‌رسانی استفاده می‌کند.

تلگرام طلایی چگونه فیلتر را دور می‌زند؟ 

تلگرام طلایی از تعداد زیادی پروکسی سرور موقت برای عبور از فیلتر استفاده می‌کند که برای کسب اطلاعات بیشتر در مورد رفتار ضدفیلتر این برنامه می‌توانید به گزارش تکمیلی بررسی و تحلیل کانال ارتباطی مراجعه کنید.

چرا تعداد کاربران تلگرام طلایی ۲۵ میلیون تخمین زده شده در حالیکه تنها ۱۰ میلیون نفر در کافه بازار این نرم‌افزار را دانلود کرده‌اند؟ آیا به زور کاربران را عضو تلگرام طلایی می‌کنند؟ 

خیر! کافه بازار تنها مرجع رسمی دانلود نرم‌افزار نیست. مراجع دیگری (مانند iranapps.ir و . . .) نیز هستند که باید در تعداد دانلود لحاظ شوند. تعداد نصب در دستگاه‌های با سیستم عامل iOS و همچنین تعداد دانلود از مراجع غیررسمی مانند هزاران سایت اینترنتی که فایل apk این نرم‌افزار را در اختیار عموم قرار داده‌اند باید در این تخمین لحاظ شوند. تخمین ۲۵ میلیون ممکن است درست باشد. اینکه به زور کاربران را عضو کرده‌اند یک تحلیل سطحی و غیرفنی است.

شما تلگرام طلایی یا نرم افزارهای مشابه آن (هات گرام، جت گرام، اوپنگرام، تلگرام ایکس تقلبی،  را نصب کرده اید؟ نظر شما چیست؟

همچنین تمام نرم افزارهای زیر به همین موارد مشکوک هستند:

اوپنگرام (OpenGram) چیست؟ چرا تلگرام بدون فیلتر اندروید را عرضه می کند؟

تلگرام ایکس (Telegram X) تقلبی به عنوان نسخه بدون فیلتر تلگرام در حال انتشار است!

جت گرام (JetGram) جدیدترین پوسته تلگرام طلایی!

آزادگرام (Azadgram) را نصب نکنید

اشتراک در
اطلاع از
21 Comments
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

مرسی.

توی بررسی کدهای جاوا اسکریپتش مشخص شده که واقعا این اپلیکیشن خطرناکه. یه جاسوس افزار که پخشش کردن توی جامعه و دادن دست ملت بیچاره ایران. واقعا زبونم قاصره از این کارها…

توی عنوان نوشتید “امنیت مبهم”

اما کاملا واضح و مشخصه که صد در صد این نرم افزار داره جاسوسی میکنه از مردم.

روانی بدبخت.
مثلا منفی بزنی عقده هات خالی میشه بیچاره؟
خیلی جدی گرفتی ها
خب اگر حرفی برای گفتن داری، بیا کامنت بذار
نگاه کن با کیا شدیم ۸۰ میلیون
همه میدونن منفی و مثبت اینجا مشکل داره
میخوای تا منم برات مثبت بزنم یکم روحت شاد بشه ?

Amin

?

Mortazavi

روانی بدبخت؟؟؟!!!

چه برخورد غیر مؤدبانه ای

اون هم برای دیسلایک کردن که حق هر کاربری هست

دکتر رسول آریان

بله دقیقا این شخص یه مریض روانیه، شک نکن. تعداد منفی و مثبت ها در این سایت یه حد متوسطی داره. به این کامنت من که بیشتر از ۱۲۰ تا دیسلایک زده نگاه کن ?
این کارها در نتیجه عقده های روانیه. فقط من دلم میسوزه برای این طفلکی که نشسته یک ساعت تمام دیسلایک زده، دقیقا همون ساعاتی که من با دوستم بیرون بودم و مشغول تفریح. چنین افرادی رو باید به روان پزشک معرفی کرد ?

erfan520

من نه به داخلیا اعتماد دارم نه خارجیا
توی گوشیم تقریبا هیچ دیتای خصوصی نگه نمیدارم
تحت هیچ شرایطی نگه نمیدارم
با چند نفر از نزدیکانم که پیام خصوصی میدم از iMessage. استفاده میکنم که در حال حاضر به نظرم امن ترینه

دکتر رسول آریان

مگه میشه اینجوری؟
هر جور حساب کنی بالاخره یه سری اطلاعات شخصی توی گوشیت هست. در بهترین حالت ممکن، شماره مخاطبینت یکی از حریم های خصوصیته.

Amir Hossein

کم مونده بیان تو خونه آدم دوربین بزارن?
با فلان قدر توضیح که این اپ امنیت نداره بازم یه سریا گوششون بدهکار نیست و نصبش میکنن

Mortazavi

خیلیا مجبورند

چون کسب و کار تلگرامی دارند

یا خیلی کارهای واجب دیگه

Amir Hossein

پروکسی ها خیلی خوب جواب میدن.اینا بهونس

Mortazavi

خیلیا مجبورن
چون کسب و کار تلگرا.می دارن
و خیلی کارهای واجب دیگه تو تلگ.رام

Mortazavi

انصافا گوشی بدون تلگ.رام مثل زنبور بی عسله

Mortazavi

آیا جایگزین مناسب و امنی براش هست؟

خود تلگ.رام که فیلتره

دکتر رسول آریان

جایگزین نیاز نداره، چون خود تلگ.رام داره همچنان مثل ساعت های سوییسی کار میکنه. فقط کافیه بلد باشی از پراکسی مناسب استفاده کنی. با سرعت و بدون قطعی.
همچنان اکثر کانال ها بازدید زیاد خودشون رو دارن.
نیاز به هیچ جایگزینی نیست. با قدرت همچنان جلو میریم.

Mortazavi

اگه سیاسی نباشیم چی؟؟

آخه عکسهای شخصی مکان روزانه لیست مخاطبین و پیام های یه فرد عادی غیر سیاسی به درد کی میخوره؟

دکتر رسول آریان

چون زمانی که من داشتم بیرون تفریح میکردم و شب اومدم خونه داشتم فیلم سینمایی نگاه میکردم، این طفلکی داشته برای کامنت من منفی میزده.
بگو بدبخت، حداقل رحمت به چشم خودت بیاد ?

Armin2afm

سلام مجدد
وقت بخیر
آقا سینا ، یه سؤال دیگه هم داشتم ، اگه امکانش هست پاسخ دهید ، ممنون میشم !!!!
من خیلی وقته از GB What’s app استفاده میکنم ، بخاطر امکانات و مزایایی ک نسبت به نسخه اصلی داره …
سؤالم اینه ؛ از لحاظ امنیت ، فرقی بین واتس اپ اورجینال و GB What’s app و OG What’s app هستش ؟؟؟؟
اینایی که نام بردم ، مگه تحت لیسانس واتس اپ اصلی ساخته نمیشن ؟؟؟؟ یعنی سرورهاشون تو ایرانه یا خارج ؟؟؟؟
اگه میدونید ، خیلی از لحاظ امنیت ضعیفه ( مثل پیام رسان های ایرانی ) خدا خیرتون بده ، بگید تا ما خارج بشیم !!!!
سپاس.

Mohammad74

سلام ببخشید دوستان من گوشیمو ریست کردم الان هر تلگرامی نصب میکنم رمز برام نمیاد با دوتا فیلتر شکنم امتحان کردم باز رمز نمیاد باید چیکار کنم شنیدم اپراتور ها کاری کردن دیگه پیام نرسه باید چطوری تلگرام نصب کنم باز ؟ هیچ راهی هست بشه رمزو به دست اورد تورو خدا یکی راهنمایی کنه تلگرام واقعا نیازمه

رپورتاژ آگهی پربازده
رپورتاژ آگهی پربازده
سینا عطایی
حال روزگارت به خودت بستگی داره :)