به تازگی مشخص شده که پیام رسان معروف تلگرام که مدعی امنیت بالا می باشد، دارای آسیب پذیری امنیتی است که باعث می شود امکان شناسایی هویت کاربران برای مهاجمین مهیا شود. این باگ را اخیرا چند تن از مهندسان هنگکنگی کشف کرده اند و به کاربران تلگرام در خصوص حفظ حریم خصوصی خود هشدار داده اند.
تلگرام یکی از پیام رسان های معروف دنیاست که چند سالی می شود وارد گوشی های کاربران شده است. مدیرعامل این اپلیکیشن پیام رسان مدعی است که به لطف استفاده از پروتکل های امنیتی قوی و روشهای رمزنگاری داده ها، بالاترین امنیت را در میان اپلیکیشن های پیام رسان در اختیار دارد. حتی در سال های اولیه راه اندازی این پیام رسان مبالغ بالایی به عنوان جایزه برای هک کردن این پیام رسان تعیین شده بود.
حال مشخص شده که این برنامه ارتباطی دارای مشکلی امنیتی است که باعث می شود حریم خصوصی کاربران نقض شود. مهندسان هنگکنگی متخصص در حوزه نرمافزار اخیرا این مشکل امنیتی را کشف کرده اند و به کاربران هشدار دادهاند که این نقض امنیتی تلگرام باعث ممکن است هویت آنها را برای هکرها مشخص کند. گفته شده این آسیبپذیری موجود در تلگرام به هکرها و مهاجمین سایبری و یا حتی سازمانهای اطلاعاتی امکان می دهد تا از طریق اکانت تلگرام فرد، شماره تلفن های او را بدست آوردند و به این وسیله هویت واقعی فرد را شناسایی نمایند.
همانطور که پیش تر ذکر شد پیام رسان تلگرام از روش پیشرفته رمزنگاری اطلاعات پایان به پایان (end-to-end) استفاده می کند که این مولفه باعث می شود امنیت سیستم تا حد قابل توجهی افزایش یابد. کاربران برای استفاده از تلگرام باید با استفاده از شماره همراه خود در این برنامه عضو شوند. اما این شماره از دید کاربران غریبه پنهان می باشد و تلگرام نیز هیچ یک از اطلاعات خصوصی کاربران را به طور رایج فاش نمی کند.
امنیت تلگرام خیلی هم بالا نیست!
اما با پژوهش های انجام شده توسط کارشناسان امنیتی به نظر می رسد تلگرام تا این حد نیز امن نیست و به طور ناخواسته برخی اطلاعات کاربران را فاش می کند. باگ شناسایی شده در تلگرام باعث میشود هکرها بدون هیچ محدودیتی شماره تلفن کاربران را پیدا کنند؛ حتی در صورتی که کاربر وضعیت نمایش شماره تلفن خود را حالت «Nobody» قرار داده باشد!
این آسیب پذیری می تواند در سطح وسیع اطلاعات خصوصی افراد را به صورت جمعی فاش نماید. چراکه با استفاده از این باگ یک هکر می تواند هزاران شماره تلفن همراه را در گوشی خود ذخیره کند و پس از آن به کمک یک ربات تلگرام وارد کانال یا گروه خاصی شود تا برنامه تلگرام با آسیب پذیری موجود در خود به مهاجم بگوید که کدام یک از شماره تلفن های مورد نظر در گوره ها عضو هستند.
به این وسیله هکر می تواند کانال ها و گروه هایی که کاربران مورد نظرش در آن عضو هستند را پیدا کند که این دقیقا نقض حریم شخصی می باشد. به عنوان مثال سازمانهای اطلاعاتی دولت ها می توانند به کمک روش فوق فهرستی از شماره تلفن افراد فعال در کانال های اعتراضی و ضدحکومتی را به دست آورده و به کمک اپراتورهای تلفن همراه اطلاعات حقیقی آنها را پیدا کند.
پس از این که خبر این باگ برای اولین بار منتشر شد، دیگر متخصصان امنیتی هنگکنگی نیز پس از بررسی، آن را تایید کردند. این متخصصین بر این باورند که نقص امنیتی موجود هماکنون نیز مورد استفاده هکرها قرار گرفته و احتمالا شماره تلفن افراد زیادی به این وسیله سرقت شده است. به دنبال کشف این مشکل امنیتی، محققان فعال در حوزه امنیت به کاربران تلگرام توصیه کرده اند که برای عضویت در این پیام رسان ناامن از شماره های غیراصلی خود استفاده نمایند؛ چراکه در حال حاضر هیچ راهی برای جلوگیری از این نشت اطلاعاتی وجود ندارد.
بی توجهی مدیران تلگرام به آسیب پذیری موجود
مدیران تلگرام در پاسخ به این آسیبپذیری گفته اند که بات مورد استفاده توسط هکرها تنها ۲ ثانیه پس از عضویت در گروه، از آن اخراج شد. در این زمان کوتاه ربات مورد نظر تنها موفق به برداشت ۸۵ شماره موبایل از گروه شد. از طرف دیگر وقتی یک حساب کاربری گروه محروم (Ban) شود، در هر روز تنها می تواند ۵ عضو جدید به گروه اضافه نماید. منظور مدیران تلگرام این است که برای سوء استفاده از این باگ محدودیت های زیادی وجود دارد و تنها می توان اطلاعات کمی را سرقت کرد.
با این وجود به نظر میرسد که محدودیت های ذکرشده توسط گروه سازنده تلگرام نیز قابل دور زدن می باشد. هکرها و مهاجمین سایبری می توانند میتوانند به جای یک بات از چندین مورد استفاده کنند و تا به این وسیله بتوانند همهی شماره های مورد نظر را در گروه وارد کنند. محققان از تلگرام حفظ حریم خصوصی کاربران را انتظار دارند. به این معنی که زمان انتخاب گزینه Nobody توسط کاربر، دیگر هیچکسی نتواند شماره تلفن کاربر را مشاهده نماید. در حالی که طبق توضیحات تلگرام ویژگی یاد شده به صورت مورد انتظار عمل نمی کند و در واقع اصلا باگی ندارد.
مدیران تلگرام در توجیه این مسئله گفته اند که تلگرام نیز همچون پیام رسان های واتساپ و فیسبوک مسنجر بر پایه شماره موبایل کار می کند و حساب کاربران افراد بر این اساس ساخته می شود. به همین دلیل فرد برای برقراری ارتباط با افراد، از دفترچه تلفن خود به دنبال مخاطبین می گردد و از این جهت است که تلگرام بدون در نظر گرفتن تنظیمات تعیین شده توسط فرد، به محض وارد شدن یک شماره در دفترچه تلفن، امکان مشاهده آن فرد برای کاربر فراهم خواهد شد.
به هر حال این مسئله چه یک باگ امنیتی باشد یا یک قابلیت عادی در همه پیام رسان ها، نقصی است که به کمک آن می تواند هویت افراد را فاش کرده و به این وسیله از آن سوء استفاده نمودد. نقضی که در بسیاری از پیام رسان های معروف همچون واتس اپ، فیس بوک مسنجر و تلگرام وجود دارد که مجموعا بیش از یک میلیارد کاربر را در معرض نقض حریم خصوصی و افشای اطلاعات قرار می دهد.
منبع: سایبربان
نظرات کاربران (۲)
آره تلگرام خیلی رو امنیتش مانور میده
این همون تلگرامیه که کلی ادعای امنیت داشت و بعضی افراد خودشونو فداش میکردن!