گزارش تازه ای از یک موسسه تحقیقاتی، نگرانی های تازه ای درباره حریم خصوصی کاربران تلگرام ایجاد کرده است. بر اساس این گزارش، تلگرام در ترافیک شبکه کاربران یک شناسه ثابت و منحصر به فرد را منتقل می کند که می تواند امکان ردیابی دستگاه ها را برای ناظران شبکه فراهم کند. موضوعی که بار دیگر بحث امنیت متادیتا در پیام رسان ها را به مرکز توجه بازگردانده است.
ماجرای شناسه ثابت تلگرام چیست؟
طبق بررسی های فنی منتشر شده، نسخه های اندروید و دسکتاپ تلگرام در هر بسته داده ارسالی به سرورهای این پیام رسان، یک شناسه ۶۴ بیتی ثابت را منتقل می کنند. این شناسه که با عنوان auth_key_id شناخته می شود، از کلید احراز هویت دستگاه مشتق شده و وظیفه آن شناسایی نشست ارتباطی در سمت سرور است.
آنچه این موضوع را بحث برانگیز کرده، ثابت ماندن این شناسه در طول زمان است. تغییر آی پی، استفاده از وی پی ان، جابه جایی بین وای فای و اینترنت همراه یا حتی استفاده از قابلیت سکرت چت نیز باعث تغییر این شناسه نمی شود.

چرا این شناسه می تواند برای کاربران خطرساز باشد؟
کارشناسان امنیت سایبری می گویند مشکل اصلی اینجاست که شناسه auth_key_id در لایه انتقال و بدون رمزگذاری کامل ارسال می شود. این یعنی هر فرد یا نهادی که به مسیر ارتباط شبکه دسترسی داشته باشد، می تواند این شناسه را مشاهده و فعالیت های یک دستگاه مشخص را در طول زمان ردیابی کند.
در واقع اگرچه محتوای پیام ها رمزگذاری شده است، اما متادیتا همچنان قابل مشاهده باقی می ماند. این اطلاعات می تواند الگوی استفاده کاربران، زمان های اتصال، تغییر شبکه و میزان فعالیت را آشکار کند.
متادیتا چگونه هویت دیجیتال را افشا می کند؟
متادیتا همان داده هایی است که درباره داده های اصلی اطلاعات ارائه می دهد. در دنیای پیام رسان ها، این اطلاعات می تواند شامل زمان اتصال، شناسه نشست، حجم تبادل داده و الگوی ارتباطی باشد.
اگر این داده ها در یک نقطه با هویت واقعی کاربر پیوند بخورند، امکان ترسیم نقشه دقیقی از رفتار آنلاین او فراهم می شود. برای نمونه، اتصال به یک وای فای عمومی که ثبت شماره تلفن یا مشخصات شخصی در آن الزامی است، می تواند این پیوند را برقرار کند.
چرا وی پی ان و سکرت چت مشکل را حل نمی کنند؟
بسیاری از کاربران تصور می کنند استفاده از وی پی ان یا سکرت چت، امنیت کامل را تضمین می کند. اما این ابزارها در لایه های متفاوتی عمل می کنند.
وی پی ان تنها آی پی کاربر را مخفی می کند، اما شناسه auth_key_id همچنان در بسته های داده باقی می ماند. سکرت چت نیز فقط محتوای پیام را رمزگذاری می کند و تاثیری بر هدرهای لایه انتقال ندارد.
حتی قابلیت تعویض دوره ای کلیدهای امنیتی نیز به گفته محققان نتوانسته مانع ردیابی شود، زیرا الگوهای زمانی این تغییرات قابل تحلیل هستند.
پاسخ تلگرام به گزارش جدید
تلگرام در واکنش به این گزارش اعلام کرده که auth_key_id صرفا یک شناسه فنی برای مدیریت نشست های ارتباطی است و به تنهایی هیچ اطلاعات مستقیمی درباره هویت کاربر فاش نمی کند.
این شرکت تاکید کرده که این ساختار بخشی از طراحی معماری پروتکل MTProto است و موضوع تازه ای محسوب نمی شود. با این حال منتقدان می گویند مسئله اصلی نه افشای مستقیم هویت، بلکه امکان ردیابی و پیوند داده ها در طول زمان است.
چرا تلگرام از TLS استفاده نمی کند؟
یکی از مهم ترین انتقادها به تلگرام، استفاده نکردن کامل از پروتکل استاندارد TLS در لایه انتقال است. بسیاری از پیام رسان های مطرح جهان مانند واتساپ و سیگنال، تمام ارتباطات خود را در تونل رمزگذاری شده TLS منتقل می کنند.
در مقابل، تلگرام از ساختار اختصاصی MTProto روی TCP استفاده می کند. این تصمیم اگرچه ممکن است مزایایی در عبور از برخی محدودیت های شبکه داشته باشد، اما باعث شده بخشی از متادیتا در معرض مشاهده قرار بگیرد.
آیا کاربران باید نگران باشند؟
برای بیشتر کاربران عادی، این موضوع تهدید فوری و مستقیم ایجاد نمی کند. تحلیل همزمان داده های میلیاردها کاربر در مقیاس وسیع بسیار پیچیده و پرهزینه است.
اما برای روزنامه نگاران، فعالان مدنی، پژوهشگران و افرادی که در محیط های پرریسک فعالیت می کنند، این مسئله می تواند پیامدهای جدی داشته باشد.
راهکار پیشنهادی برای افزایش امنیت
کارشناسان معتقدند ساده ترین راه حل، اجبار تلگرام به استفاده کامل از TLS برای همه ارتباطات است. در این صورت شناسه auth_key_id نیز درون یک تونل امن رمزگذاری خواهد شد و امکان مشاهده آن از سوی ناظران شبکه از بین می رود.
این گزارش بار دیگر نشان داد امنیت در پیام رسان ها فقط به رمزگذاری محتوا محدود نمی شود. متادیتا نیز بخشی مهم از حریم خصوصی دیجیتال است و کاربران باید درک دقیقی از ردپای آنلاین خود داشته باشند.





نظرات در مورد : آیا امکان ردیابی کاربران تلگرام وجود دارد؟ جریان شناسه پنها چه بود ؟