آیا تلگرام طلایی امن است؟

آیا تلگرام طلایی امن است؟

گزارش تحلیلی بررسی امنیت و رعایت حریم خصوصی تلگرام طلایی

از دسترس خارج شدن تلگرام در سال ۹۶، فرصت مناسبی برای رشد پیام‌رسان‌های ایرانی به شمار می‌رفت. در این میان به جز پیام‌رسان‌های ایرانی برخی کلاینت‌های غیر رسمی تلگرام نیز رشد قابل توجهی داشتند. تلگرام طلایی که شاید محبوب‌ترین کلاینت غیررسمی تلگرام بعد از فیلتر شدن آن باشد، به گفته یکی از اعضای کمیته تعیین مصادیق مجرمانه حدود ۲۵ میلیون نفر کاربر دارد. که البته عبارت دقیق‌تر این است که ۲۵ میلیون نفر از برنامه تلگرام طلایی برای اتصال به سرورهای تلگرام استفاده می‌کنند.

تلگرام طلایی
تلگرام طلایی

۱- چرا تلگرام طلایی را بررسی کردیم؟

تلگرام طلایی حدود ۲۵ میلیون کاربر دارد و چندین بار در سال بروزرسانی می‌شود با این وجود هیچ شرکت یا نهاد دولتی و خصوصی مسئولیت توسعه و پشتیبانی آن را برعهده ندارد. هیچ سایت یا Licensing Agreement ندارد. این میزان ناشناس بودن توسعه دهندگان و مالکان حقوقی نگرانی‌هایی درباره غیرقانونی بودن فعالیت‌های این برنامه ایجاد می‌کند. همچنین، برخی از اظهار نظرهای غیر فنی و نادقیق راجع به این نرم‌افزار (از قبیل اینکه : تلگرام طلایی یک نسخه از تمامی چت‌ها را به یک سرور خاص ارسال می‌کند و …) نه تنها کمکی به موضوع نمی‌کند بلکه شبهات و شایعه‌ها را بیشتر می‌کند. این نگرانی‌ها ما را بر آن داشت تا نرم‌افزار فوق را از منظر وجود کدهای مخرب مانند ابزارهای سرقت اطلاعات، سطح امنیت، و حفظ حریم خصوصی کاربران مورد بررسی قرار دهیم.

۲- موارد بررسی شده

تلگرام طلایی یک کلاینت تلگرام است و در ظاهر سرورهای مجزا ندارد بلکه از زیرساخت سرورهای تلگرام برای رد و بدل کردن پیام استفاده می‌کند. با بررسی بیشتر کلاینت، متوجه این امر شدیم که علاوه بر سرورهای رسمی تلگرام، تلگرام طلایی سرورهایی دارد که موبایل کاربر به‌صورت ناخواسته با آن‌ها ارتباط برقرار می‌کند. ارتباط بین تلگرام طلایی و سرورهای رسمی تلگرام و همچنین سرورهای تلگرام طلایی به صورت زیر است:

جریان‌داده از تلگرام طلایی تا سرورهای تلگرام
جریان‌داده از تلگرام طلایی تا سرورهای تلگرام

حال برای بررسی تلگرام طلایی باید موارد زیر مورد بررسی قرار بگیرند:

  1. بررسی کد جاوا کلاینت تلگرام طلایی به دنبال اعمال خلاف قوانین
  2. بررسی کتابخانه ++C تلگرام رسمی به دنبال تغییرات احتمالی اعمال شده
  3. بررسی کانال ارتباطی با سرورهای رسمی تلگرام به دنبال روش‌های شنود و یا دستکاری اطلاعات
  4. بررسی کانال ارتباطی با سرورهای تلگرام طلایی به دنبال روش‌های شنود و یا دستکاری اطلاعات

این موارد جداگانه بررسی شده و برای مشاهده جزئیات روش بررسی، نتایج فنی و . . . می‌توانید به پست‌های مربوطه مراجعه کنید.

۳- نتایج بررسی تلگرام طلایی

پس از بررسی کد جاوای تلگرام طلایی قابلیت‌های متعددی برای سرقت اطلاعات و انجام اعمال ناخواسته کاربردر این نرم‌افزار کشف شد که با چند سرور خاص (مانند hotgram.ir) در ارتباط بود و داده‌هایی حیاتی را به این سرورها ارسال می‌کرد. برخی از این قابلیت‌ها اطلاعات شخصی کاربر را ارسال می‌کنند و برخی دیگر از طرف کاربر عملیات خاصی را اجرا می‌کنند. در ادامه به تعدادی از این قابلیت‌ها اشاره شده است. برای اطلاعات کامل‌تر در این زمینه و لیست سرورهایی که به صورت مخفی اطلاعات کاربران برای آن‌ها ارسال می‌شود به گزارش بررسی کد جاوا کلاینت تلگرام طلایی مراجعه کنید.

قابلیت‌های سرقت اطلاعات شخصی:

  1. می‌تواند لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است را به سرورهای خود ارسال کند
  2. امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟
  3. امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها
  4. امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی
  5. امکان سرقت کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.
  6. ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی.

اعمالی که بدون اطلاع کاربر از طرف او انجام می‌دهد:

  1. امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری
  2. امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی
  3. امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال
  4. امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

متاسفانه یا خوشبختانه توسعه‌دهندگان این نرم‌افزار افرادی غیر حرفه‌ای بوده‌اند و اشتباهات امنیتی را مرتکب شده‌اند. به عنوان مثال راه ارتباطی ارسال اطلاعات به سرورها بدون هر نوع رمزنگاری و کدگذاری است. بنابراینهر کسی می‌تواند با شنود شبکه، به راحتی اطلاعات شخصی‌ای که به سرورهای تلگرام طلایی ارسال می‌شوند را ببیند. این یعنی تلگرام طلایی بستری ناامن را برای کاربران و خود فراهم کرده است که هکرهای می‌توانند با حمله به این پروتکل ارتباطی ضعیف، علاوه بر سرقت اطلاعات، اعمال مخربی را از سوی کاربران و تلگرام طلایی انجام دهند.

با مقایسه نسخه‌های مختلف تلگرام طلایی متوجه شدیم که سرویس‌های مختلف به تدریج و در نسخه‌های مختلف به تلگرام طلایی اضافه شده‌اند. همچنین در نسخه‌های جدیدتر تلاش‌هایی برای مخفی کردن و مبهم‌سازی کدهای مخرب صورت گرفته بود.

در انتها می‌توان گفت که با یکی از بزرگترین ابزارهای جاسوسی و یکی از بزرگترین Botnetهای تاریخ ایران مواجه هستیم که غیر حرفه‌ای نوشته شده است. استفاده از تلگرام طلایی به هیچ‌وجه توصیه نمی‌شود.

۴- ضمیمه

سوالات متداول دیگر

  1. آیا تلگرام طلایی و تلگرام دو برنامه کاملا جدا هستند؟ خیر! تلگرام طلایی یک کلاینت تلگرام است و به سرورهای اصلی تگرام متصل می‌شود. تلگرام طلایی از پروکسی‌های متعددی برای انتقال داده‌ها و پیام‌ها استفاده می‌کند اما در نهایت از زیرساخت تلگرام برای پیام‌رسانی استفاده می‌کند.
  2. تلگرام طلایی چگونه فیلتر را دور می‌زند؟ تلگرام طلایی از تعداد زیادی پروکسی سرور موقت برای عبور از فیلتر استفاده می‌کند که برای کسب اطلاعات بیشتر در مورد رفتار ضدفیلتر این برنامه می‌توانید به گزارش تکمیلی بررسی و تحلیل کانال ارتباطی مراجعه کنید.
  3. چرا تعداد کاربران تلگرام طلایی ۲۵ میلیون تخمین زده شده در حالیکه تنها ۱۰ میلیون نفر در کافه بازار این نرم‌افزار را دانلود کرده‌اند؟ آیا به زور کاربران را عضو تلگرام طلایی می‌کنند؟ خیر! کافه بازار تنها مرجع رسمی دانلود نرم‌افزار نیست. مراجع دیگری (مانند iranapps.ir و . . .) نیز هستند که باید در تعداد دانلود لحاظ شوند. تعداد نصب در دستگاه‌های با سیستم عامل iOS و همچنین تعداد دانلود از مراجع غیررسمی مانند هزاران سایت اینترنتی که فایل apk این نرم‌افزار را در اختیار عموم قرار داده‌اند باید در این تخمین لحاظ شوند. تخمین ۲۵ میلیون ممکن است درست باشد. اینکه به زور کاربران را عضو کرده‌اند یک تحلیل سطحی و غیرفنی است.

منابع

  1. تلگرام طلایی، نسخه ۵.۳.۵ و ۵.۴.۲ – لینک کد Decompile شده و برنامه APK درhttps://github.com/alireza-ebrahimi/telegram-talaeii
  2. تلگرام رسمی، کامیت e9e40cb واقع در https://github.com/DrKLO/Telegram

 

منبع : یاشار شاهین زاده

گوگل پیکسل 2

پیکسل ۲ ، پرچمدار جدید گوگل معرفی شد

شرکت گوگل دقایقی پیش از جدیدترین موبایل های خود با نام‌های آشنای پیکسل ۲ و پیکسل ۲ اکس ال رونمایی کرد. محصولاتی که این بار از نمایشگرهای ۵ و ۶ اینچی بهره می‌برند و زبان طراحی کلی آنها بسیار مشابه با نمونه‌ سال گذشته است.

طراحی بخش پشتی موبایل به صورت دو تکه از شیشه و فلز ساخته شده، درست مثل سال گذشته و بخش جلوی موبایل‌ و نمایشگر هم نمی‌تواند عنوان «بی حاشیه» یا «لبه تا لبه» را به خود اختصاص دهد. البته حاشیه نسبت به سال گذشته تا حد زیادی کاهش پیدا کرده است اما پنل جلوی موبایل، شما را به یاد LG V30 خواهد انداخت.

پیکسل ۲ اکس ال، از نمایشگری با نسبت تصویر ۱۸ به ۹ استفاده می‌کند و پنل آن از نوع P-OLED است. همانطور که گفته شد اندازه این پنل ۶ اینچ است و رزولوشن ۱۴۴۰ در ۲۸۸۰ در آن به کار رفته که چگالی ۵۳۸ پیکسل در هر اینچ را به ارمغان می‌آورد. اما پیکسل ۲، از یک نمایشگر ۵ اینچی با رزولوشن تمام اچ دی بهره می‌برد و پنل آن هم AMOLED است. (بیشتر…)

برون سپاری

با برون سپاری شرکت شما صاحب یک دپارتمان جدید می شود!

در گذشته های نه چندان دور واژه برون سپاری برای شرکتهای متوسط و کلان حوزه IT حاوی معانی خوبی نبود و شرکتهای بزرگ در صورت نیاز به سپردن بخشی از کار خود به شرکتهای همگن ، این مساله را به عنوان نقطه ضعف نابخشودنی خود ارزیابی می کردند . اما با گسترده شدن بازار این حوزه ، معانی توسعه دهندگی نیز دستخشوش تغییرات فراوانی شده است .
توسعه ی بازار جدید و گسترش شاخه های کسب و کار ، به درستی ، قبح و زشتی واژه “برون سپاری” را زدوده است و حالا شرکتهای کلان با خیالی آسوده تر تن به سپردن کارهای مرتبط با حوزه ی خود به دیگران می کنند و در عین حال به راحتی از حاصل مهارتهای دیگران به نفع برند خود سود می برند .
شرکت طراحی پرتو چندی پیش در همین رابطه ، فراخوانی را به شرکتهای گوناگون این حوزه و بالاخص شرکتهای مرتبط با حیطه طراحی وبسایت ، ارسال کرد و از آنها خواست که به جای متحمل شدن هزینه های گزاف جهت ایجاد دپارتمان جدید و استخدام نیروی متخصص مرتبط با طراحی برنامه های گوشی هوشمند ، کارهای مرتبط با این حیطه را به شرکت طراحی پرتو واگذار نمایند و در اتحادی دو سویه از حاصل برون سپاری خود بهره ببرند . (بیشتر…)

Apple Search Ads

تبلیغات در اپل استور ، روشی عادلانه برای توسعه دهندگان کوچک

اختصاصی وبلاگ شرکت طراجی پرتو : اپل سرانجام سرویس تبلیغات خود را در فضای اپل استور و برای کاربران آمریکایی فعال کرد ، سرویسی که پیش از این بصورت نسخه ی بتا iOS 10 و تنها برای توسعه دهندگان ( برنامه نویسان iOS) فعال بود . حالا اپل با عمومی کردن این سرویس در بازار ایالات متحده ، قدمی تازه در عرصه بازاریابی برداشته است .
فیل شیلر معاون بازاریابی بین المللی اپل در باب این سرویس جدید می گوید : با استفاده از این سرویس ، توسعه دهندگان مستقل در جهان فرصتی ویژه خواهند یافت برای معرفی عادلانه تر اپلیکیشن و استارتاپ خود . (بیشتر…)

Background Unusual modern material design. Abstract Illustration.

پلی استور بیش از یک میلیون اپلیکیشن با طراحی متریال دارد

سبک طراحی متریال از زمانی که توسط گوگل معرفی شده، علاوه بر اینکه در اپلیکیشن‌های این کمپانی مورد استفاده قرار گرفته، بسیاری از توسعه‌دهندگان دیگر را نیز به استفاده از این سبک در طراحی اپلیکیشن‌هایشان سوق داده است. بر اساس جدیدترین آمارها هم اکنون بیش از یک میلیون اپلیکیشن با طراحی متریال در فروشگاه پلی‌استور وجود دارد.

هر روز شاهد آن هستیم که رفته رفته اپلیکیشن‌های بیشتری با سبک طراحی متریال منتشر می‌شوند. این سبک طراحی همزمان با معرفی اندروید ۵ آبنبات چوبی معرفی شد. اصول طراحی متریال از زمان معرفی تا کنون توسط بسیاری از تولیدکنندگان اپلیکیشن‌ها بکار گرفته شده و اخیرا نیز برخی از ساعت‌های هوشمند با ظاهری که از راهنمای طراحی متریال برای اندروید ور ۲.۰ بهره می‌برد عرضه شده‌اند.

(بیشتر…)

اندروید ویر 2 برای ساعت های هوشمند

بررسی نسخه جدید سیستم عامل ساعت های هوشمند Android Wear 2

با اینکه اکثر توجهات در رویداد I/O ۲۰۱۶ گوگل بر روی اندروید ان متمرکز شده است، اما ورژن جدید سیستم عامل مخصوص گجت‌های پوشیدنی یا همان اندروید ویر ۲.۰ (Android Wear 2.0) نیز مخاطبان خاص خود را دارد و به‌خصوص با پیشرفت امروزه‌ی این نوع گجت‌ها، اهمیت این پلتفرم بسیار بیشتر از قبل شده است.
آن‌طور که مجری مراسم می‌گوید، سیستم عامل اندروید ویر ۲.۰ ، بزرگ‌ترین به‌روزرسانی در تاریخ این پلتفرم خواهد بود و این نسخه از اندروید Wear در سه بخش کلیدی گجت‌های پوشیدنی که همان واچ فیس، پیام‌رسانی و ورزش و تناسب اندام هستند، پیشرفت قابل توجهی داشته است. بنابراین ابتدا به سراغ قابلیت‌های جدید بخش اول این نسخه می‌رویم.

Android Wear 2 (بیشتر…)

اجرای اپلیکیشن اندروید

اجرای اپلیکیشن‌ ها بدون نیاز به نصب با فناوری Android Instant Apps

گوگل دقایقی قبل در Google IO 2016 از فناوری جدیدی به نام Android Instant Apps رونمایی کرد که در آن اپلیکیشن‌های اندرویدی بدون نیاز به نصب بر روی گوشی، اجرا می‌شوند.

گوگل امروز از پروژه‌ای به نام Android Instant Apps رونمایی کرد که به موجب آن توسعه‌دهندگان می‌توانند اپلیکیشن‌هایی تولید کنند که بدون نیاز به نصب قابل اجرا باشند. به عنوان مثال گوگل نشان داد که اپلیکیشن فروشگاه B&H Photos بدون نصب اجرا شده و حتی قابلیت خرید کالا را در اختیار کاربر قرار داد. البته کاربر همچنان می‌تواند مانند قبل اپلیکیشن‌های مورد نظر خود را بر روی گوشی نصب کند، اما برای کاربردهای موقت و مواردی که کاربر نمی‌خواهد اپلیکیشن بر روی گوشی نصب شود، امکان اجرای اپلیکیشن بدون نصب میسر خواهد شد.

توسعه‌دهندگان برای سازگاری اپلیکیشن‌های فعلی خود با Android Instant Apps باید کمتر از نصف روز زمان صرف کنند و از این بابت می‌توان انتظار داشت در آینده‌ی نزدیک بسیاری از اپلیکیشن‌های اندرویدی از این قابلیت پشتیبانی خواهند کرد.

نکته‌ی جالب توجه دیگر آنکه، این فناوری در نسخه‌های قدیمی اندروید نیز پشتیبانی خواهد شد و گوشی‌های مجهز به اندروید کیت‌کت به بعد می‌توانند این اپلیکیشن‌ها را بدون نیاز به نصب اجرا کنند. (بیشتر…)

epa04505630 A mobile phone displaying the Google logo is held as members of the European Parliament vote during the plenary session in the European Parliament in Strasbourg, France, 27 November 2014. MEPs will vote on a resolution on consumer rights on the Internet in Europe.  EPA/PATRICK SEEGER

خبر فوری؛ گوگل بخشی دیگر از تحریم ها را لغو کرد

با گذشت چند ماه از برجام، گوگل تحریم چند سرویس خود که تاکنون برای ایرانیان محدود و غیر قابل دسترس شده بود را برداشت و ایرانیان می توانند از این سرویس ها استفاده کنند.

گوگل سرویس های گوگل آنالیتیک و سایت اندروید را از لیست سرویس های تحریم شده برای ایرانیان خارج کرده است و از این پس ایرانیان و علی الخصوص توسعه دهندگان ایرانی نیز میتوانند از این سرویس ها استفاده کنند.
گوگل به عنوان یکی از بزرگترین شرکت های تکنولوژی سرویس های متعددی را به مخاطبین خود ارائه میدهد که برخی از این سرویس ها برای ایرانیان از دسترس خارج می باشد و این اتفاق این امید را به ما می دهد که تحریم های حوزه فناوری اطلاعات و خدمات آن توسط تمام شرکت های IT، به زودی برداشته شود و ایرانیان بتوانند از آنها استفاده کنند.
سرویس های رفع تحریم شده و قابل دسترس برای ایرانیان شامل ابزار گوگل آنالیتیک و وبسایت آندروید می باشد.
گوگل آنالیتیک https://www.google.com/analytics/ ابزار آنالیز وب سایت است و طراحان و مدیران سایت ها با استفاده از آن می توانند آمار لحظه ای و دقیقی را به همراه بررسی رفتار مخاطبان خود، در اختیار داشته باشند.
سیستم عامل اندروید یکی از محبوب ترین و پر استفاده ترین سیستم عامل های دنیاست و سایت اندروید http://developer.android.com/ به عنوان مرجعی برای برنامه نویسانی که میخواهند در این زمینه فعالیت کنند مشغول به فعالیت می‏باشد.
دیگر سرویس گوگل که رفع تحریم و برای ایرانیان قابل دسترس شده است سایت Developers.google.com است که به عنوان مرجع API ها و مستندات گوگل برای برنامه نویسان مطرح می باشد.

منبع : کلیک