بسمه تعالی. پس از وبلاگ قدیمی ام در پرشین بلاگ، که بخاطر مشکلات فنی پرشین بلاگ، حدود دو سال از آرشیو آن از بین رفته است، به اینجا آمده ام. مطالب قدیمی ام را می توانید در Pasdaran.persianblog.ir مطالعه کنید. بعضی از مطالب مهم را به تناسب ضرورت اینجا بازنشر می کنم، هرچند مطالب دو سال اخیر از بین رفته است...

پیوندها

یک برنامه کاربردی پیام­‌رسان است که در میان کاربران ایرانی محبوبیت فراوانی داشته و بسیار مورد استفاده است. مالکین روسی این برنامه می‌­گویند که Telegram یک نرم‌­افزار پیام­‌رسان  است که تمام تمرکز آن بر سرعت و امنیت است. این ابزار بسیار سریع، ساده و رایگان است. در Telegram کاربران امکان ارسال و دریافت پیام، عکس، فیلم و انواع فایل مثل mp3، Zip، doc و غیره را دارند. Telegram یک ابزار پیام­‌رسان Cloud-base است، به همین دلیل امکان استفاده از آن به صورت هم‌زمان در موبایل، تبلت و کامپیوتر برای کاربران موجود است، زیرا کلیه پیام­‌های ارسالی و دریافتی در Telegram به شکل بلادرنگ در تمامی دستگاه­‌های مورد استفاده کاربران همگام­‌سازی (Sync) می‌­شود.

این ابزار به واسطه محبوبیت آن مورد توجه پژوهشگران امنیتی و مهاجمان قرار گرفته ­است. پیش­‌تر خبری در رابطه با کشف یک آسیب­‌پذیری امنیتی توسط هکرهای سرشناس ایرانی در Telegram منتشر نمودیم.

به نوشته وب‌­سایت Seclist، به تازگی آقای "Eduardo Alves" موفق به کشف چندین آسیب­‌پذیری در Telegram شده­­‌اند. ایشان گفته‌­اند که برای دسترسی به این نرم‌­افزار غالبا یک کد ۵ رقمی ارسال می­‌شود که با استفاده از آن کاربران احراز هویت می­‌شوند. در این کد و نحوه استفاده از آن آسیب­‌پذیری­‌هایی یافت شده ­است که در ادامه به شرح آن­‌ها می­‌پردازیم:

  • my.telegram.org Denial Of Service

    در صورتی که در و‌ب­‌سایت my.telegram.org کاربری پنج بار متوالی شماره تلفن اشتباه را وارد نماید، مسدود خواهد شد. اما با وجود ضعف یافت­‌شده، امکان دور زدن این مورد وجود دارد و مهاجمان با ارسال تعداد بسیار زیادی درخواست می­‌توانند این و‌ب­‌سایت را از سرویس­‌دهی خارج نمایند.

  • Bypass 5 minutes limit to input token

    برای احراز هویت کاربران در وب‌­سایت web.telegram.org یک توکن ارسال می­‌شود که کاربران برای وارد نمودن آن ۵ دقیقه فرصت دارند.  اما با استفاده از محیط متنی  Telegram CLI)Telegram) امکان دور زدن این محدودیت وجود دارد.

  • Telegram Denial Of Service in token request

    با ارسال کدهای نامعتبر متعدد در هنگام احراز هویت، کاربران عادی امکان درخواست کد جدید را برای مدت زمان نامحدودی ندارند. در نتیجه سرویس درخواست توکن جدید برای این قشر از کاربران از دسترس خارج خواهد شد.

  • User identity validation absence

    در وب‌­سایت web.telegram.org برای مدیریت Session و کنترل دسترسی­­‌های کاربران از مکانیزم­‌های امنی استفاده نشده­‌است، بنابراین مهاجمان امکان سرقت توکن کاربران و در دست گرفتن کنترل اکانت آن­ها را خواهند داشت.

  • Hijacking account and importing contacts

    اگر کاربران برای احراز هویت از two-step verification استفاده نمایند و مهاجم با استفاده از آسیب­‌پذیری­­‌های مذکور موفق به سرقت توکن شود، امکان وارد کردن اسامی مورد نظر مهاجم در لیست مخاطبین تلفن قربانی فراهم می­‌گردد.

منبع : سایت شرکت امن پرداز

  • ابوذر منتظرالقائم

نظرات (۰)

هیچ نظری هنوز ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">