کشف آسیب پذیری نشت شماره ها در تلگرام
شناسایی آسیب پذیری نشت شماره در تلگرام
طبق اخبار منتشر شده توسط forbes ضعف امنیتی ای در تلگرام کشف شده که میتواند باعث نشت شماره تلفن افراد در گروه های عمومی شود. این امر لو رفتن هویت تلقی می شود و برای تلگرام که بر امنیت و بخصوص حریم خصوصی تاکید و محوریت دارد خبر بدی است.
در این روزها، کاربران تلگرام با یک مشکل جدی روبرو هستند و آن نشت شماره تلفن همراه آنها است. این مسئله به دلیل یافته شدن آسیب پذیری در سرویس تلگرام است که سبب نشت شماره تلفن همراه کاربران میشود. برخی از قربانیان از دسترسی غیرمجاز به اطلاعات شخصی خود شکایت کردهاند. در این شرایط، شناسایی و رفع آسیب پذیریهای موجود در تلگرام، امری حیاتی و ضروری است.
تلگرام بعنوان یک پیام رسان امن و دارای حریم خصوصی در خیلی کشورها استفاده شده است و کاربران بسیار زیادی دارد. این پیام رسان توسط گروه های معترض به دولت و یا دولت ها نیز به همین خاطر بسیار استفاده شده است از جمله در چین, ایران و روسیه. فاش شدن هویت این افراد معترض میتواند پیامد های بسیار ناگواری از جمله بدنامی, از دست دادن شغل و یا حتی در معرض تهدید قرار گرفتن را داشته باشد.
این باگ کشف شده تنها بر گروه های عمومی در تلگرام تأثیر گذاشته و هیچ تأثیری بر پیام ها و چت های خصوصی نخواهد داشت. اما این باگ بر روی تمامی افراد با هر گونه تنظیمات برای حریم خصوصی تأثیرگذار است.
طبق گزارشات روش اکسپلویت این باگ در یک تالار گفت و گوی هنگ کنگی بصورت عمومی انتشار یافته است. در این اکسپلویت کافیست شماره های زیادی رو بر روی دستگاه ذخیره کنید و سپس آن شماره ها را با تلگرام خود sync کنید. مراحل کامل اکسپلویت این باگ به شرح زیر است:
- تعداد شماره های زیادی را در دستگاه خود ذخیره میکنید.
- شماره ها را با تلگرام sync میکنید.
- در تلگرام وارد یک گروه عمومی می شوید.
- با بررسی لیست کاربران گروه خواهید دید که شماره هایی که ذخیره کردید بجای نام بعضی از آنها (اگر شماره آنها در لیست شما بوده است) نمایان خواهد شد.
طبق گزارش Reuters تکنیک مشابهی توسط ‘هکرهای ایرانی’ در سال 2016 صورت گرفت که باعث نشت شماره تلفن بیش از 15 میلیون کاربر تلگرام شد.
در حال حاضر هیچ مکانیزم امنیتی برای این جلوگیری از اکسپلویت این باگ وجود ندارد هرچند که به تلگرام گزارش شده است. تنها راه حل موجود فعلی استفاده از شماره مجازی است که جا به جایی برای اکانت های قبلی مشکلات خود را داراست.
تنها مکانیزمی که تلگرام برای پیشگیری دارد اجازه ندادن sync کردن مقدار زیادی از مخاطبین است که این نیز با استفاده از ماشین های مجازی و ساخت ابزار برای اتوماتیک کردن پروسه میتوان به راحتی دور زد.
این تنها تلگرام نیست, تمام پیام رسان هایی که استفاده میکنیم در حقیقت از امنیت کمی برخوردارند. برای یک ارتباط امن زحمت زیادی نیاز است که حتی آنجا هم امنیت کاملی وجود ندارد همانطور که هیچ جا امنیت کاملی وجود ندارد. به شخصه ترجیح میدهم از رمزنگاری end-to-end و پیام رسان های غیر متمرکز مانند xmpp و irc استفاده کنم. اما متاسفانه برای ارتباط با مردم عادی نیاز به داشتن بستر یکسان است و مردم عادی راحتی را بر امنیت خود میطلبند.