مهندسان هنگکنگی هشدار دادهاند باگی در تلگرام وجود دارد که امکان شناسایی هویت واقعی کاربران را به مهاجم میدهد.
به گزارش بادیجی ، مهندسان نرمافزار هنگکنگی هشدار دادهاند که تلگرام دارای یک نقص امنیتی است. این آسیبپذیری به مجرمان سایبری و سازمانهای اطلاعاتی اجازه میدهد تا شماره تلفن حسابهای کاربری تلگرام را به دست آورده و به واسطه آن هویت واقعی افراد را شناسایی کنند.
پیامرسان تلگرام به علت پشتیبانی از ارتباطات ناشناس رمزنگاری شده پایان به پایان (end-to-end) و وجود ویژگیهایی مانند چت گروهی از محبوبیت خاصی به خصوص میان معترضان چینی برخوردار است.
تلگرام به کاربران اجازه میدهد فقط با استفاده از شماره تلفن خود در آن عضو شوند. سپس افراد برای پنهانسازی هویت خود میتوانند یک نام و تصویر مستعار برای خود انتخاب کنند. آنها حتی میتوانند از طریق بخش تنظیمات نمایش شماره تلفن خود را برای دیگران پنهان کنند.
با وجود این پژوهشگران هشدار دادند باگ تلگرام باعث میشود، حتی اگر کاربران، حالت نمایش شماره تلفن هوشمند خود را روی «Nobody» قرار داده باشند، هکرها همچنان بتوانند به شمارهی آنها دسترسی پیدا کنند.
در حمله یاد شده، هکر میتواند دهها هزار شماره تلفن همراه را در داخل بخش مربوط به ذخیره شمارهها در تلفن هوشمند قرار بدهد. سپس از طریق آنها به کانال تلگرامی که معترضان یا گروههای دیگر در آن سازماندهی شده و به تبادلنظر با یکدیگر میپردازند متصل شود. در این حالت برنامه تلگرام به مهاجم میگوید که کدامیک از دنباله شمارهها در گروههای موردنظر عضو هستند.
برای مثال سازمانهای اطلاعاتی چین میتوانند به کمک حملهی بالا فهرستی از شماره تلفن افراد معترض را به دست آورده و اپراتورهای محلی را وادار کنند که اطلاعات هویت واقعی افراد را به آنها بدهد.
پس از انتشار جزییات باگ یاد شده، چندین متخصص هنگکنگی دیگر وجود این آسیبپذیری را تایید کردند. این افراد معتقدند که نقص مذکور هماکنون نیز مورد سوءاستفاده قرار گرفتهاست.
محققان توصیه میکنند کاربران تلگرام از شمارهی دیگری به غیر شمارهی اصلی خود استفاده کنند؛ زیرا در حال حاضر راهی برای جلوگیری از نشت اطلاعات یاد شده وجود ندارد.
مقامات تلگرام در پاسخ به آسیبپذیری مذکور اعلام کردند، بات مورد استفاده در گزارش ارسال شده برای ما تنها دو ثانیه پس از عضو شدن در گروه، از آن اخراج شد.
بات موردنظر در این بازهی زمانی تنها موفق شد ۸۵ شماره را وارد کرده و گزارش بدهد. از طرفی زمانی که یک حساب کاربری یا باگ بر اثر گزارش از گروه بَن میشود، روزانه تنها پنج عضو جدید را میتواند اضافه کند.
با وجود این به نظر میرسد حتی محدودیت یاد شده نیز قابل دور زدن است. مهاجمان میتوانند به جای استفاده از یک بات، چندین نمونه مختلف را در نوبتهای مختلف به کار بگیرند. این مسئله به آنها اجازه میدهد تا همه دنباله اعداد موردنظر خود را وارد کنند.
از طرفی چیزی که محققان هنگکنگی انتظار دارند حفظ حریم خصوصی کاربران است به این معنی که در هنگام انتخاب گزینه Nobody، هیچکس حتی افرادی که در دفترچه تلفن کاربر وجود دارند نیز نتوانند آن را مشاهده کنند.
این در حالی است که تلگرام توضیح میدهد ویژگی یاد شده به این گونه عمل نمیکند و در واقع هیچگونه باگی وجود ندارد.
مقامات توضیح دادند، درست به مانند واتساپ و فیسبوک مسنجر، تلگرام نیز بر پایه شمارههای تلفن کار میکند.
به این معنی که کاربران با فهرست شماره مخاطبان خود را بهمنظور برقراری ارتباط با آنها مشاهده کنند؛ بنابراین بدون در نظر گرفتن نوع تنظیمات، به محض این که یک فرد شمارهای را در فهرست مخاطبان خود وارد کند، قادر است آن را ببیند.
مسئله یاد شده چه باگ باشد، چه یک ویژگی معمولی، نقصی است که به کمک آن هویت افراد فاش میشود و امکان سوءاستفاده از آن وجود دارد.
انتهای پیام/
نظرات کاربران