ضعف امنیتی بزرگ تلگرام!+ سند
امروزه اکثر دارندگان گوشیهای هوشمند از اپلیکیشنهای پیامرسانی مثل تلگرام یا وایبر استفاده میکنند.
به گزارش خبرنگار اخبار
داغ گروه
فضای مجازی باشگاه خبرنگاران جوان؛ امروزه اکثر دارندگان گوشیهای هوشمند از اپلیکیشنهای پیامرسانی مثل تلگرام یا وایبر استفاده میکنند. این قبیل اپلیکیشنها هنگام نصب از کاربران خود میخواهند تا شماره تلفن همراهشان را وارد کنند؛ سپس پیامکی برای کاربر ارسال میشود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر میخواهد که رمز ارسالشده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل میکند. تا زمانی که کاربران از سیمکارتهای فیزیکی (مشابه نمونههای رایج در ایران) استفاده کنند، مشکلی جدی پیش نمیآید.
امروزه در بسیاری کشورهای دنیا شماره تلفنهای برخط صرفا جهت ارسال و دریافت پیامک بهوسیله اینترنت ارایه میشوند. اکثرا این شمارهها بهصورت اشتراکی هستند و معمولا برای چند ماه خریداری میشوند و پس از سپری شدن مدتزمان خریداریشده، شماره موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده میشود.
فرض کنید شخصی با شمارهی اشتراکی خود، اپلیکیشن پیامرسانی را ثبت کرده باشد و اشتراک خط خریداریشده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شمارهی خریداریشدهی خود ثبت کند؛ در اینصورت به لیست مخاطبان و تمام پیامهای موجود در اپلیکیشن شخص اول دسترسی خواهد داشت.
این آسیبپذیری امنیتی که میتوان آن را بهنوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است. شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان میدهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیامهای تمامی کاربران قبلی قابلدسترس هستند.
طبق بررسیهای صورت گرفته، اکثر اپلیکیشنهای پیامرسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده میکنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجهی بررسیهای انجامشده روی معروفترین اپلیکیشنهای پیامرسانی را نشان میدهد. این تصویر بیان میکند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شدهاند.
اگرچه برخی از اپلیکیشنهای پیامرسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیلهی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشنهای فعال در دیگر دستگاهها ارسال میکنند، ولی در این مدتزمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشنهای فعال بر روی دستگاههای دیگر را غیرفعال کنند. شاید بهتر است توسعهدهندگان اپلیکیشنهای پیامرسانی از احراز هویت مبتنی بر تماس بهجای ارسال پیامک بهره بگیرند.
برای آگاهی از آخرین اخبار و پیوستن به کانال تلگرامی باشگاه خبرنگاران جوان اینجا کلیک کنید.
امروزه در بسیاری کشورهای دنیا شماره تلفنهای برخط صرفا جهت ارسال و دریافت پیامک بهوسیله اینترنت ارایه میشوند. اکثرا این شمارهها بهصورت اشتراکی هستند و معمولا برای چند ماه خریداری میشوند و پس از سپری شدن مدتزمان خریداریشده، شماره موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده میشود.
فرض کنید شخصی با شمارهی اشتراکی خود، اپلیکیشن پیامرسانی را ثبت کرده باشد و اشتراک خط خریداریشده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شمارهی خریداریشدهی خود ثبت کند؛ در اینصورت به لیست مخاطبان و تمام پیامهای موجود در اپلیکیشن شخص اول دسترسی خواهد داشت.
این آسیبپذیری امنیتی که میتوان آن را بهنوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است. شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان میدهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیامهای تمامی کاربران قبلی قابلدسترس هستند.
طبق بررسیهای صورت گرفته، اکثر اپلیکیشنهای پیامرسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده میکنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجهی بررسیهای انجامشده روی معروفترین اپلیکیشنهای پیامرسانی را نشان میدهد. این تصویر بیان میکند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شدهاند.
اگرچه برخی از اپلیکیشنهای پیامرسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیلهی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشنهای فعال در دیگر دستگاهها ارسال میکنند، ولی در این مدتزمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشنهای فعال بر روی دستگاههای دیگر را غیرفعال کنند. شاید بهتر است توسعهدهندگان اپلیکیشنهای پیامرسانی از احراز هویت مبتنی بر تماس بهجای ارسال پیامک بهره بگیرند.
برای آگاهی از آخرین اخبار و پیوستن به کانال تلگرامی باشگاه خبرنگاران جوان اینجا کلیک کنید.
منبع: دیجی کالا
انتهای پیام/
ثانیا ، یه ویژگی به اسم "رمز دوم هست" که اگه طرف فعال کنه دیگه دارنده سیم کارت جدید نمیتونه از اون استفاده کنه
ثالاثا ، اگه یک تنظیم دیگه ای هم داره که میتونید تعیین کنید اگه چه مدتی از اکانت استفاده دشند اکانت پاک بشه پیش فرضش 2 ماه است
این نقص نیست
چون شخص میتونه موقع پابان تاریخ سیم کارتش بره تو سایت تلگرام و حسابش رو پاک کنه
و بعد از پاک کردن اگه دوباره همون شماره وارد تلگرام شه حالا چه توسط فرد جدید چه همون قبلی فرقی نمی کنه اطلاعاتی از قبل وجود نخواد داشت چون دیتابیس اون شماره پاک شده
این بی اطلاعی مردم هست
به محض اينكه برنامه تلگرام رو نصب كني تمام تلفنهاي گوشيتون ميشينه روي برنامه تلگرام .
حالا هرچي برنامه رو هم غير فعال كني شماره تلفنهايي كه روي تلگرام نشسته حذف نميشه و به محض نصب مجدد همه تلفنها همراه با برنامه مياد بالا
خب میشه قبل از تعویض سیم کارت ، تلگرام رو غیرفعال کرد .
ممنون از اطلاع رسانيتون ولي به عقيده بنده اگه پيامها توسط كاربر حذف بشه ديگه سخت ميشه بازيابي كرد مشكل بزرگتر از اون اينه كه تمام شماره تلفنهاي دفتر تلفن كابر ميشينه روي برنامه و هركس ديگه اي كه برنامه تلگرام رو روي گوشيش فعال كنه دسترسي به تمامي دفترتلفن داره