بررسی امنیتی نسخه‌های غیر رسمی تلگرام

زمان تخمینی مطالعه ~ 7 دقیقه


آخرین خبر!

در هفته‌ای که گذشت کانال تلگرام «آخرین خبر»1 در اقدامی (حداقل عجیب برای من) اطلاعیه‌‌ای فوری مبنی بر سوءاستفاده «نرم‌افزار غیر رسمی تلگرام فارسی» از اطلاعات کاربران خود، منتشر کرد. اطلاعیه‌ای که موجب به وجود آمدن شایعه‌های مختلف و صحبت‌های گوناگون پیرامون مسائل امنیتی و هک اطلاعات این پیام‌رسان شد. پس از آن وبسایت‌ دیجیاتو2 و برخی دیگر از وب‌سایت‌ها با استناد به متن همین کانال تلگرامی، اقدام به انعکاس خبری‌های مختلف در همین زمینه کردند.



معرفی یا مقدمه؟! هیچکدام :)

بی‌شک نام پیام‌رسان تلگرام این روزها برای همه‌ی کاربران فارسی‌زبان آشناست. پیام‌رسانی با بیش از بیست میلیون کاربر در کشور ایران3 که روزانه میلیون‌ها مطلب و پیام در آن تولید و منتقل می‌شود و عمده‌ی کاربران، آن را به‌عنوان یک ابزار پیام‌رسان کاملا امن و مطمئن می‌شناسند. تلگرام در سال ۲۰۱۳ ابتدا با عنوان یک ابزار پیام‌رسان فوری و امن در اختیار مخاطبان قرار گرفت و بعد از آن با افزودن امکانات متنوع مانند کانال، گروه و … سهم عمده‌ای از فعالیت کاربران در پیام‌رسان‌ها از آن خود کرد.

از آنجایی که تلگرام به صورت نرم‌افزار متن‌باز ارائه شد، امکان بررسی، توسعه و استفاده از کدهای آن برای سایر توسعه‌دهندگان نیز فراهم بود. در این میان برخی از برنامه‌نویسان و گروه‌های ایرانی با انگیزه‌های گوناگون اقدام به ساخت نسخه‌هایی متنوع و متفاوت براساس این پیام‌رسان کردند.

نسخه‌های تلگرام فارسی (غیر رسمی)، موبوگرام و سایر پیام‌رسان‌ها با نام‌های مختلف تلگرامی نیز بر همین اساس ساخته و توسعه‌ داده شد.

براساس آمار، تلگرام فارسی با بیش از ۳ میلیون نصب فعال (به‌صورت رایگان) در فروشگاه اپلیکیشن کافه بازار، موبوگرام با بیش از ۵۰۰ هزار نصب فعال (با قیمت ۵.۰۰۰ تومان) و موبوگرام دو با بیش از ۵۰۰ هزار نصب فعال (به‌صورت رایگان) سهم قابل توجهی از کاربران پیام‌رسان تلگرام را در ایران به خود اختصاص داده‌اند.

در ادامه به اسامی و تعداد نصب فعال نسخه‌های مختلف تلگرام براساس اطلاعات فروشگاه اپلیکیشن کافه‌بازار اشاره شده است.


 تعداد نصب فعال نسخه‌های مختلف تلگرام


اینکه این برنامه‌ها چه تفاوت‌هایی با نسخه‌ی اصلی تلگرام دارند، معایب استفاده از این قبیل برنامه‌ها چیست، همچنین بررسی ادعای مطرح شده توسط کانال تلگرام «آخرین خبر»، موضوعی است که در ادامه این مطلب به آن خواهیم پرداخت.




بررسی اولیه

عمده تفاوت اولیه این برنامه‌ها با نسخه‌ی اصلی و رسمی تلگرام، در ظاهر واسط کاربری، منوی زبان فارسی و برخی امکانات جانبی جزئی دیگر است که به مرور زمان و با فاصله‌ی زمانی اندک نیز به نسخه‌ی اصلی تلگرام اضافه شده‌اند. ویژگی‌هایی که بدون در نظر داشتن آن‌ها هم می‌توان تلگرام را یک پیام‌رسان کامل و بدون نقص به‌لحاظ کاربری معرفی کرد.

اساسا می‌توان گفت همه‌ی این برنامه‌ها کپی‌هایی هستند از سورس اصلی تلگرام با اندکی تغییر!




استاتیک آنالیز

بررسی کد‌ها

پس از بررسی‌ جزئیات فنی فایل‌ این برنامه‌ها، نکته‌ی قابل توجه و حائز اهمیت این بود که اغلب در برخی از دسترسی‌ها، با نسخه‌ی رسمی تلگرام متفاوت هستند. عمده دلیل این تفاوت‌ها در نوع دسترسی‌ها به خاطر افزوده شدن برخی امکانات جانبی و موارد تبلیغاتی است. دسترسی‌هایی که در مواردی به سبب استفاده از ماژول‌های از پیش آماده‌ی اشخاص ثالث، می‌بایست در برنامه تعریف و استفاده شوند.

برای مثال در «تلگرام فارسی» از دسترسی ir.persianfox.messenger.permission.RESANA_ADS و در «تلگرام فارسی تله‌تالک» از دسترسی ir.teletalk.app.permission.PUSH_SERVICE برای ارسال و دریافت اطلاعات جانبی مرتبط با کارکرد و تبلیغات درون برنامه استفاده شده است. هر دوی این دسترسی‌ها با سرویس مجموعه‌ی دیگری به نام پوش بفرست کار می‌کند.

ماهیت و عملکرد برخی از دسترسی‌ها در تلفن‌های مبتنی بر سیستم‌عامل اندروید به خودی خود، گاهی خطرناک و در مواردی با ریسک و حاشیه امنیتی همراه است. باید دانست که نصب برنامه‌های ناشناخته و تایید برخی از دسترسی‌ها، امکان کنترل امکانات مختلف و مشاهده‌ی اطلاعات بسیار زیادی را برای برنامه و سازندگان آن فراهم می‌سازد.

برای مثال دسترسی android.permission.GET_TASKS جزو مواردی است که این امکان را به وجود می‌آورد تا مانند یک برنامه‌ مخرب، در بین اپ‌های در حال اجرای فعلی و قبلی، به اطلاعات خصوصی و حساس مرتبط با آن‌ها دسترسی پیدا کرد.

این دسترسی در حال حاضر در «تلگرام فارسی»، «موبوگرام» و … استفاده شده است. پس این احتمال به‌صورت پیش‌فرض همیشه وجود دارد که سازندگان این برنامه‌ها با داشتن این دسترسی و سایر دسترسی‌های مانند آن، امکان دسترسی به اطلاعات شخصی و خصوصی کاربران در سایر برنامه‌های نصب شده در تلفن همراه خواهند داشت.


در صورت تمایل برای دریافت فایل مستندات فنی مربوط به بررسی کدهای این برنامه‌ها به حساب کاربری من در توییتر پیغام بفرستید.






بررسی پویا

برای بررسی دقیق و اطلاع از کارکرد حقیقی این برنامه‌ها در یک محیط شبیه‌سازی شده، به صورت جداگانه تک‌تک نصب و اجرا شدند. موارد زیر خلاصه‌ مهم‌ترین فعالیت این برنامه‌ها است:

  • ● ثبت مشخصات تلفن در سامانه‌های ارسال نوتیفیکیشن‌

  • ● دنبال کردن خودکار برخی کانال‌ها بدون اطلاع و اجازه‌ی کاربر

  • ● عدم امکان ترک برخی کانال‌ها در زمان کاربری آن برنامه

  • ● افزوده شدن خودکار برخی بات‌ها به عنوان دستیار به حساب کاربری

  • ● نمایش علامت تایید اصالت (وریفای) جعلی در کنار نام برخی کانال‌ها

  • ● نمایش اجباری پیام و تبلیغات سایرین بین محتوای دیگر کانال‌ها

  • ● ارسال نوتیفیکیشن‌‌های تبلیغاتی برای دنبال کردن کانال یا مشاهده‌ی محتواهای دیگر

  • ● ثبت برخی از فعالیت‌های کاربران به همراه IP و مشخصات در سرور سازندگان برنامه




دسترسی آزاد به سرور اطلاعات کاربران برنامه‌ی....

بررسی امنیتی

دسترسی‌ها و سازوکار اغلب این برنامه‌ها به گونه‌ای است که نمی‌توان یکی از آن‌ها را بر دیگری برتری داد. تمام نسخه‌های غیررسمی تلگرام را می‌توان ناامن و غیر مطمئن اعلام کرد.

برخی از نسخه‌های غیر رسمی توسط اشخاص حقیقی یا حقوقی ساخته شده و به عنوان نمونه کار و پروژه در فروشگاه اپلیکیشن کافه‌بازار قرار گرفته است؛ این موضوع به این معنی است که شاید به هیچ عنوان در آینده به‌روز رسانی نشوند و این مسئله باعث می‌شود ایرادهای امنیتی در نسخه فعلی تلگرام اصلی که به‌صورت مداوم در حال اصلاح و رفع است، در این برنامه‌ها اعمال نشود.

همچنین هیچ‌گونه تضمین یا تعهدی در خصوص سازندگان نسخه‌های غیررسمی تلگرام وجود ندارد. مطمئنا این برنامه‌ها به مرور زمان تغییر می‌کنند و ممکن است در بروزرسانی‌های آتی، با انجام تغییراتی اندک در کدهای برنامه، اقدام به انجام کارهایی کنند که در این بررسی مشاهده یا به آن اشاره نشده است.

بعضی از سرورهایی که اطلاعات تلفن همراه کاربران این برنامه‌ها به آن‌ها ارسال می‌شود، یا فایل‌های مرتبط با برنامه از آن‌ها دریافت می‌شود، فاقد پروتکل امن انتقال اطلاعات بوده و به راحتی قابل شنود است. همینطور بعضی از این سرورها در بدترین حالت فنی، تنظیم و اجرا شده‌اند که باعث شده برخی از اطلاعات کاربران برای سایرین قابل مشاهده باشد. با توجه به اینکه هیچ تمهید امنیتی برای حفاظت از اطلاعات در نظر گرفته نشده است، خرابکاران سایبری و هکرها به راحتی با نفوذ به سرورهای مدیریت این برنامه‌ها می‌توانند به اطلاعات حساس زیادی دست یابند یا اقدام به انتشار تبلیغات و لینک‌های حاوی بدافزار یا باج‌افزار کنند.




نتیجه‌گیری

در حال حاضر ایران در رتبه‌ی دوم بیشترین آلودگی به بدافزارهای موبایلی در بین کشورهای جهان قرار دارد و حقیقت این است که وضعیت کاربران برنامه‌های موبایلی واقعا نگران کننده است.

با توجه به نسبت جمعیت کاربران فعال نسخه‌های غیر رسمی تلگرام (حدود شش میلیون نفر) به آمار کل کاربران تلگرام ایران (حدود بیست میلیون نفر)، می‌توان مشکلات و ابعاد امنیتی زیادی را در کمین دانست. کافی است در نیمی از شبکه‌ای با این وسعت، یک نرم‌افزار مخرب منتشر و گسترش داده شود. با توجه به زیرساخت‌های سایبری ایران و وضعیت مراکز آپا، همچنین بی‌توجهی کاربران به نکات امنیتی در فضای آنلاین، می‌توان انتظار وقوع بحرانی اساسی و خطرناک را داشت.

و اما در جمع‌بندی نهایی باید تاکید کنم که شخصا طی بررسی‌های انجام شده حین تهیه این مطلب، علائم یا اطلاعاتی مبنی بر سوءاستفاده‌ مستقیم از اطلاعات کاربران توسط «نرم‌افزار غیر رسمی تلگرام فارسی» و سایر پیام‌رسان‌ها مشاهده نکردم، اما به دلیل وجود آسیب‌پذیری و سهل‌انگاری‌های فنی متعدد و احتمال بروز مشکلات جدی برای کاربران این برنامه‌ها، از همه‌ی افرادی که این مطلب را می‌خوانند، تقاضا می‌شود به دوستان و اطرافیان خود که کاربر برنامه‌ی تلگرام هستند، نکات زیر را یادآوری کنند:

  • ● پیام‌رسان تلگرام تنها در حالت مکالمه‌ی سکرت‌چت و فقط از طریق نسخه‌ی اصلی خود شرکت تلگرام قابل اعتماد و امن است.

  • ● از نصب و استفاده‌ از نسخه‌های مختلف تلگرامی با هر نوع قابلیت یا ویژگی خاص، جدا پرهیز شود و فقط نسخه‌ی اصلی تلگرام را از طریق منابع رسمی دریافت کنید.

  • ● فراموش نکنید استفاده‌ی شما از نسخه‌های غیر رسمی تلگرام، نه تنها اطلاعات شما که ممکن است امنیت اطلاعات دیگران را نیز به خطر بیاندازد.

  • ● پیش از نصب هر گونه برنامه، به جزئیات دسترسی‌ها، توجه ویژه داشته باشید. یک دسترسی نابه‌جا احتمال و امکان دسترسی غیرمجاز به تمام اطلاعات شخصی و حساس شما را ممکن خواهد کرد.

  • ● از دانلود و نصب برنامه‌های ناشناس اکیدا خوداری شود.






سرویس نظردهی دیسکاس

csp-upgrade-insecure-requests-test

Test upgrade-insecure-requests with an upgrade.…