mri_6889
August 3rd, 2016, 00:21
تلگرام به عنوان نرمافزار پیامرسان مبتنیبر اینترنت، بین کاربران ایرانی از محبوبیت بسیار بالایی برخوردار است. تقریبا ۲۰ میلیون ایرانی در حال استفاده از این نرمافزار هستند. به تازگی دو محقق به نامهای کالین اندرسن (Collin Anderson) و کلودیو گوارنیری (Claudio Guarnieri)، ادعا کردهاند که حساب کاربری تلگرام ۱۵ میلیون ایرانی در معرض هک شدن قرار دارد. این دو محقق که اولین بار ادعای خود را با خبرگزاری رویترز درمیان گذاشتند، اظهار کردهاند که حساب کاربری این افراد به وسیلهی تغییر مسیر پیامک (redirect) به خطر افتاده است. فقط با یکبار اجرا شدن فرآیند تغییر مسیر، صرف نظر از رمزنگاری end-to-end، مجرمان سایبری میتوانند به حساب کاربری تلگرام افراد معین دسترسی داشته و قادر به مشاهدهی آرشیو پیامها و فهرست مخاطبان آنها باشند.این حملهی سایبری به جای هدف قرار دادن رمزنگاری حفاظت کننده از پیامهای رد و بدل شدهی بین کاربران، بخش امنیت حساب کاربری تلگرام را مورد هدف قرار داده و از طریق آن به اطلاعات کاربران دسترسی پیدا میکند. هنگام افزودن یک دستگاه جدید به حساب کاربری تلگرام، دستگاه جدید باید به وسیلهی کد یکبار مصرف موجود در پیامک دریافت شده تایید شود؛ اما در صورتی که این پیامک به وسیلهی یک مهاجم سایبری رهگیری شود، حساب کاربری هک شده به طور کامل در اختیار مهاجم قرار خواهد گرفت.نرمافزار تلگرام گزینهای تحت عنوان تایید هویت دو مرحلهای (Two Step Verification) را که رمز عبور ثانویهای را به فرآیند تایید دستگاه جدید اضافه میکند، در اختیار کاربران گذاشته است. اما متاسفانه استفاده از این گزینه در میان کاربران ایرانی بسیار اندک است. در نتیجه هر کسی که قادر به کنترل شبکهی تلفن همراه باشد، میتواند به طور موثری به حسابهای کاربری تلگرام دسترسی داشته باشد.
پی نوشت: البتّه به این روش(دسترسی به شبکه مخابراتی و امکان رصد پیامکهای ارسال شده از سوی نرم افزار پیام رسان)، تقریبا همه نرم افزارهای پیام رسان قابل هک کردن خواهند بود.
پی نوشت 2: به نظر میرسد Two-Step Factor از طریق پیامک به پایان خود (http://www.zoomit.ir/2016/7/31/133970/two-factor-athentication-sms-nist/) نزدیک میشود و باید از فناوری های جدیدتر مبتنی بر نرم افزار مانند Google Prompt (http://www.zoomit.ir/2016/6/21/132272/google-prompt-streamlines-two-step-verification/) و Google Authenticator یعنی فناوری جدید Two Step Factor مبتنی بر اینترنت و نه پیامک استفاده کرد. چیزی که Microsoft هم مدّتی است در سرویس Outlook خود دارد.
منبع: زومیت (http://www.zoomit.ir/2016/8/2/134088/telegram-iran-hack-account-compromise-sms/)
پی نوشت: البتّه به این روش(دسترسی به شبکه مخابراتی و امکان رصد پیامکهای ارسال شده از سوی نرم افزار پیام رسان)، تقریبا همه نرم افزارهای پیام رسان قابل هک کردن خواهند بود.
پی نوشت 2: به نظر میرسد Two-Step Factor از طریق پیامک به پایان خود (http://www.zoomit.ir/2016/7/31/133970/two-factor-athentication-sms-nist/) نزدیک میشود و باید از فناوری های جدیدتر مبتنی بر نرم افزار مانند Google Prompt (http://www.zoomit.ir/2016/6/21/132272/google-prompt-streamlines-two-step-verification/) و Google Authenticator یعنی فناوری جدید Two Step Factor مبتنی بر اینترنت و نه پیامک استفاده کرد. چیزی که Microsoft هم مدّتی است در سرویس Outlook خود دارد.
منبع: زومیت (http://www.zoomit.ir/2016/8/2/134088/telegram-iran-hack-account-compromise-sms/)