کشف آسیب پذیری نشت شماره ها در تلگرام
طبق اخبار منتشر شده توسط forbes ضعف امنیتی ای در تلگرام کشف شده که میتواند باعث نشت شماره تلفن افراد در گروه های عمومی شود. این امر لو رفتن هویت تلقی می شود و برای تلگرام که بر امنیت و بخصوص حریم خصوصی تاکید و محوریت دارد خبر بدی است.
تلگرام بعنوان یک پیام رسان امن و دارای حریم خصوصی در خیلی کشورها استفاده شده است و کاربران بسیار زیادی دارد. این پیام رسان توسط گروه های معترض به دولت و یا دولت ها نیز به همین خاطر بسیار استفاده شده است از جمله در چین, ایران و روسیه. فاش شدن هویت این افراد معترض میتواند پیامد های بسیار ناگواری از جمله بدنامی, از دست دادن شغل و یا حتی در معرض تهدید قرار گرفتن را داشته باشد.
این باگ کشف شده تنها بر گروه های عمومی در تلگرام تأثیر گذاشته و هیچ تأثیری بر پیام ها و چت های خصوصی نخواهد داشت. اما این باگ بر روی تمامی افراد با هر گونه تنظیمات برای حریم خصوصی تأثیرگذار است.
طبق گزارشات روش اکسپلویت این باگ در یک تالار گفت و گوی هنگ کنگی بصورت عمومی انتشار یافته است. در این اکسپلویت کافیست شماره های زیادی رو بر روی دستگاه ذخیره کنید و سپس آن شماره ها را با تلگرام خود sync کنید. مراحل کامل اکسپلویت این باگ به شرح زیر است:
- تعداد شماره های زیادی را در دستگاه خود ذخیره میکنید.
- شماره ها را با تلگرام sync میکنید.
- در تلگرام وارد یک گروه عمومی می شوید.
- با بررسی لیست کاربران گروه خواهید دید که شماره هایی که ذخیره کردید بجای نام بعضی از آنها (اگر شماره آنها در لیست شما بوده است) نمایان خواهد شد.
طبق گزارش Reuters تکنیک مشابهی توسط ‘هکرهای ایرانی’ در سال 2016 صورت گرفت که باعث نشت شماره تلفن بیش از 15 میلیون کاربر تلگرام شد.
در حال حاضر هیچ مکانیزم امنیتی برای این جلوگیری از اکسپلویت این باگ وجود ندارد هرچند که به تلگرام گزارش شده است. تنها راه حل موجود فعلی استفاده از شماره مجازی است که جا به جایی برای اکانت های قبلی مشکلات خود را داراست.
تنها مکانیزمی که تلگرام برای پیشگیری دارد اجازه ندادن sync کردن مقدار زیادی از مخاطبین است که این نیز با استفاده از ماشین های مجازی و ساخت ابزار برای اتوماتیک کردن پروسه میتوان به راحتی دور زد.
این تنها تلگرام نیست, تمام پیام رسان هایی که استفاده میکنیم در حقیقت از امنیت کمی برخوردارند. برای یک ارتباط امن زحمت زیادی نیاز است که حتی آنجا هم امنیت کاملی وجود ندارد همانطور که هیچ جا امنیت کاملی وجود ندارد. به شخصه ترجیح میدهم از رمزنگاری end-to-end و پیام رسان های غیر متمرکز مانند xmpp و irc استفاده کنم. اما متاسفانه برای ارتباط با مردم عادی نیاز به داشتن بستر یکسان است و مردم عادی راحتی را بر امنیت خود میطلبند.
من چند روز پیش میخواستم کانالموبزارم برای تبلیغ و به ی نفر پیام دادم ایشون گفتن باید اصالت کانالتون مشخص بشه ،با اینکه من شمارمو قسمت اطلاعات کانال مخفی کرده بودم ولی ایشون تمام اطلاعات منو داد حتی شمارمو گفتم من که شماره ندادم بهتون گفت تلگرام باگ دارهولی هر کاری کردم نگفتن چجوری شمارمو پیدا کرد
سلام
احتمالا شماره شما هم جزو 42 میلیون شماره ای هست که افشا شده
از این طریق تونسته شماره شما رو پیدا کنه.
سلام
تلگرام این امکان را قرار داده تا در بخش خصوصی مشخص کنیم چه کسانی میتونند شماره تماس ما را ببینند
همه ، فقط کانتکتهای خودم یا هیچ کس پس هر چقدر شمارهای اطرافیان را داشته باشید گزینه هیچ کس و یا کانتکتهای من باشه نمیتونه متوجه هویت واقعی بر اساس تلفن را پیدا کنه
تمام
عالی بود
سلام
این خبر یکم مشکوک میزنه
شما داری میگید که یک روش پابلیک برای هک تلگرام وجود داره که شرقی ها کشف کردن؟؟
ولی من این رو باور نمیکنم
البته امکانش هست اما یه خورده …. عجیبه این روش و باک.
به هر حال جالب بود.
شما به عقل خودتون رجوع کنید
ایا این روشی که توضیح داده شده امکان پذیر نیست؟
100درصد امکان پذیر هست.
واقعا راسته منم دیدم تو یه گروهی
این خبر مربوط به کی هست؟
سلام Aug 25, 2019