خطر افشای اطلاعات ۲۵ میلیون کاربر ایرانی

به گزارش کارگروه امنیت سایبربان؛ نسخه‌های کپی تلگرام با امکان دور زدن فیلترینگ این روزها حسابی کار و بارشان سکه است.این اپلیکیشن‌ها هرچند پیش از فیلترینگ هم وجود داشتند اما حالا تعداد کاربرانشان برای وصل شدن بدون مشکل به سرورهای اصلی تلگرام هر روز بیشتر می‌شود. چندی پیش مقام‌های رسمی درباره تنها یکی از نسخه‌های رنگی تلگرام اعلام کردند که بیشتر از ۲۵میلیون کاربر دارد.

این نسخه‌ها از روی کدهای اصلی تلگرام که به‌صورت متن‌باز (اوپن‌سورس) در اختیار کاربران قرار گرفته، ساخته شده و بنا بر نیاز کاربران گزینه‌های متفاوتی به آن افزوده می‌شود. مدتی است یکی از همین نسخه‌های فرعی که توانسته فیلترینگ را نیز دور بزند، بیشتر از بقیه خبرساز شده است. به جز ضدفیلتر بودن این نسخه، تعداد کاربران بالا و تبلیغات گسترده‌ای که درباره آن می‌شود، باعث شده از طرف مقامات کشور، ازجمله نماینده‌های مجلس، وزرا و... درباره آن اظهارنظرهایی صورت بگیرد.

کارشناسان امنیتی پیش‌تر تأکید کرده بودند، هرچند این ریسک امنیتی در تمام نسخه‌های غیررسمی تلگرام وجود دارد اما تا زمانی که، ‌کدنویسی‌های این برنامه‌ها به‌طور دقیق و خط به خط «کامپایل»(بررسی و اجرای تخصصی) نشود، نمی‌توان دراین‌باره با اطمینان سخن گفت. اخیرا چند نفر از کارشناسان فنی نرم‌افزار کد یکی از نسخه‌های رنگی تلگرام را دکامپایل‌ کرده و ابهامات آن را برطرف کرده‌اند. آنها درباره جزئیات فنی این نسخه غیررسمی تلگرام نکات تازه‌ای را با همشهری در میان گذاشته‌اند.

احتمال دسترسی به اطلاعات خصوصی

در تمام نسخه‌های فرعی تلگرام این ریسک وجود دارد که برخی اطلاعات کاربران که معمولا جنبه عمومی دارند، توسط دیگران چک شوند. این اطلاعات کلی مثل تعداد بازدیدهای کانال‌ها و گروه‌های عمومی در دسترس عموم کاربران قرار دارند و معمولا برای آمارگیری (مثلا توسط آزمایشگاه شبکه‌های اجتماعی دانشکده برق و کامپیوتر دانشگاه تهران) مورداستفاده قرار می‌گیرد. اما بعضی از این اطلاعات جنبه کاملا شخصی دارند یا در شرایط خاصی تعریف شده هستند.

دسترسی به این داده‌ها در نسخه‌های کپی وجود دارد که ریسک امنیتی را در آنها بالا می‌برد. علیرضا ابراهیمی، کارشناس امنیت شبکه به همشهری می‌گوید: «اینکه کاربر عضو کدام کانال‌های عمومی تلگرام است، یک داده شخصی است و فقط ادمین کانال به آن دسترسی دارد. با بررسی دقیق‌تر کدها متوجه شدیم که این نسخه‌های رنگی می‌توانند یک سری عملیات را بدون اطلاع کاربر به جای او اعمال کنند که چنین ویژگی قطعا حریم شخصی آنها را نقض می‌کند.»

دریافت کد محرمانه ورود به تلگرام

بررسی‌های جدید کارشناسان امنیتی نشان می‌دهد، برنامه‌نویس‌های نسخه‌های فرعی تلگرام از نظر فنی می‌توانند لیست تمام گروه‌ها و روبات‌ها را که کاربر در آنها عضو است به سرورهای خود ارسال کنند، ‌امکان ارسال لیست تمام کانال‌هایی را که کاربر در آنها عضو است دارا هستند و خصوصا، به کدهای محرمانه‌ای که برای ورود به‌حساب تلگرام، به‌صورت مخفیانه به آنها فرستاده می‌شود یا Code Authentication دسترسی دارند.

علیرضا ابراهیمی، کارشناس امنیت نرم‌افزار و شبکه به همشهری می‌گوید: «کد شناسایی بدون درخواست سرور و بدون هیچ‌ پیش‌شرطی ارسال می‌شود.» این ادعا می‌تواند به آن مفهوم باشد که نسخه‌های رنگی با در اختیار گرفتن کدهای شناسایی سری می‌توانند بدون مشکل وارد سیستم هر فردی شوند.

رمز‌گذاری نامناسب

غیرحرفه‌ای بودن تیم سایبری چنین نرم‌افزارهایی باعث شده آنها نرم‌افزار کپی‌شده‌شان را در معرض ریسک‌ قرار بدهند. با این حساب، هرچند از نظر فنی امکان دارد ارائه‌دهنده نرم‌افزار خودش به اطلاعات دسترسی داشته باشد اما این احتمال قوی‌تر نیز مطرح است که هر هکری می‌تواند به این اطلاعات دسترسی داشته باشد.

یاشار شاهین‌زاده، کارشناس امنیت وب به همشهری می‌گوید: «پیام‌ها در این بسترهای کپی در بستر HTTP فرستاده شده و رمزگذاری با شیوه ساده ومعمولی AES انجام می‌شود. متأسفانه کلید رمزگذاری به‌سادگی در دسترس هکرهاست و اطلاعات قابل‌شنود است.»