تلگرام زیر ذره‌بین؛ آیا شناسه پنهان کاربران را ردیابی می‌کند؟

گزارش تازه‌ای از مؤسسه Symbolic Software بحث‌های جدیدی را درباره حریم خصوصی کاربران تلگرام به راه انداخته است. طبق این گزارش، شناسه‌ای فنی با نام auth_key_id تلگرام در ترافیک شبکه کاربران به‌صورت قابل مشاهده منتقل می‌شود؛ موضوعی که می‌تواند امکان ردیابی یک دستگاه مشخص را در طول زمان فراهم کند.

این مسئله به معنای افشای مستقیم شماره تلفن یا هویت کاربران نیست، اما کارشناسان معتقدند متادیتاهای شبکه گاهی می‌توانند به اندازه محتوای پیام‌ها اهمیت داشته باشند. به همین دلیل یافته‌های جدید توجه فعالان حوزه امنیت سایبری و حریم خصوصی را به خود جلب کرده است.

auth_key_id تلگرام چیست؟

تلگرام برای انتقال داده‌ها از پروتکل اختصاصی MTProto استفاده می‌کند. در این پروتکل، هر دستگاه دارای یک کلید احراز هویت اختصاصی است و شناسه‌ای ۶۴ بیتی با نام auth_key_id از این کلید مشتق می‌شود.

وظیفه این شناسه ساده است؛ سرور باید تشخیص دهد هر بسته داده متعلق به کدام نشست ارتباطی است تا بتواند آن را با کلید مناسب پردازش کند. اما گزارش Symbolic Software ادعا می‌کند که auth_key_id تلگرام در لایه انتقال و خارج از بخش رمزگذاری‌شده قرار می‌گیرد.

چرا کارشناسان درباره auth_key_id تلگرام هشدار می‌دهند؟

به گفته پژوهشگران، شناسه auth_key_id سه ویژگی مهم دارد که در کنار هم می‌توانند مشکل‌ساز شوند. نخست اینکه این شناسه پایدار است و با تغییر آی‌پی، تعویض شبکه، فعال‌کردن VPN یا حتی راه‌اندازی مجدد برنامه تغییر نمی‌کند.

ویژگی دوم، قابلیت مشاهده آن در ترافیک شبکه است. محققان می‌گویند ناظران شبکه می‌توانند این شناسه را استخراج کنند. سومین ویژگی نیز قابلیت پیوند دادن اتصال‌های مختلف به یک دستگاه مشخص است؛ موضوعی که امکان ترسیم الگوی فعالیت یک کاربر را فراهم می‌کند.

آیا VPN و Secret Chat از کاربران محافظت می‌کنند؟

براساس این گزارش، استفاده از VPN تنها آدرس IP کاربر را پنهان می‌کند و تأثیری بر شناسه auth_key_id تلگرام ندارد. در نتیجه ناظری که به ترافیک شبکه دسترسی داشته باشد، همچنان می‌تواند این شناسه را مشاهده کند.

در مورد Secret Chat نیز شرایط مشابهی وجود دارد. قابلیت گفت‌وگوی محرمانه تلگرام محتوای پیام‌ها را با رمزگذاری سرتاسری محافظت می‌کند، اما مسئله مورد بحث در لایه انتقال داده رخ می‌دهد و ارتباطی با محتوای رمزگذاری‌شده پیام‌ها ندارد.

آیا auth_key_id هویت کاربران را فاش می‌کند؟

تلگرام در واکنش به این گزارش تأکید کرده است که auth_key_id صرفاً یک شناسه فنی محسوب می‌شود و به‌تنهایی هیچ اطلاعاتی درباره هویت کاربران ارائه نمی‌دهد. از دید این شرکت، وجود چنین شناسه‌ای بخشی از طراحی پروتکل ارتباطی است و موضوع تازه‌ای به شمار نمی‌رود.

با این حال منتقدان می‌گویند مشکل اصلی افشای مستقیم هویت نیست؛ بلکه امکان پیوند دادن فعالیت‌های مختلف یک دستگاه در طول زمان است. اگر در نقطه‌ای هویت واقعی کاربر با این شناسه مرتبط شود، سوابق گذشته و آینده آن دستگاه نیز می‌تواند قابل ردیابی باشد.

چرا تلگرام از TLS استفاده نمی‌کند؟

یکی از نکات مهم مطرح‌شده در گزارش Symbolic Software به نحوه انتقال داده‌ها در تلگرام مربوط می‌شود. پژوهشگران می‌گویند بسیاری از پیام‌رسان‌های مدرن مانند Signal و WhatsApp کل ترافیک خود را درون لایه TLS منتقل می‌کنند؛ فناوری‌ای که پایه ارتباطات امن HTTPS در اینترنت محسوب می‌شود.

به اعتقاد منتقدان، اگر تلگرام استفاده از TLS را برای تمام ارتباطات اجباری کند، شناسه auth_key_id نیز درون تونل رمزگذاری‌شده قرار می‌گیرد و دیگر برای ناظران شبکه قابل مشاهده نخواهد بود.

آیا کاربران باید نگران باشند؟

برای اکثر کاربران عادی، این موضوع تهدید فوری و مستقیمی ایجاد نمی‌کند. ردیابی هم‌زمان میلیون‌ها یا میلیاردها کاربر از طریق چنین شناسه‌ای عملاً بسیار دشوار است. اما برای روزنامه‌نگاران، فعالان مدنی، پژوهشگران و افرادی که در محیط‌های حساس فعالیت می‌کنند، مسئله می‌تواند اهمیت بیشتری داشته باشد.

گزارش اخیر بار دیگر یادآوری می‌کند که امنیت دیجیتال تنها به رمزگذاری محتوای پیام‌ها محدود نمی‌شود. متادیتاها نیز بخشی از حریم خصوصی کاربران هستند و آگاهی از نحوه جمع‌آوری و انتقال آن‌ها می‌تواند به تصمیم‌گیری آگاهانه‌تر درباره ابزارهای ارتباطی کمک کند. در مغزافزار همچنان آخرین تحولات حوزه امنیت سایبری و پیام‌رسان‌ها را دنبال خواهیم کرد.