بسمه تعالی. پس از وبلاگ قدیمی ام در پرشین بلاگ، که بخاطر مشکلات فنی پرشین بلاگ، حدود دو سال از آرشیو آن از بین رفته است، به اینجا آمده ام. مطالب قدیمی ام را می توانید در Pasdaran.persianblog.ir مطالعه کنید. بعضی از مطالب مهم را به تناسب ضرورت اینجا بازنشر می کنم، هرچند مطالب دو سال اخیر از بین رفته است...

بایگانی
آخرین مطالب
پیوندها

۲ مطلب در فروردين ۱۳۹۷ ثبت شده است

از تلگرام باید گریخت با این همه باگ، ولی سانسور می شود!

۱۹
فروردين

با گسترش تلفن­‌های همراه هوشمند، تولید و توسعه نرم­‌افزارهای پیام­‌رسانی که از طریق اینترنت به مبادله پیام­‌ها می­‌پردازند، بسیار داغ شده ­است. نرم‌­افزار پیام‌­رسان "Telegram" نیز در زمره ابزارهایی است که به تازگی روی کار آمده و در همین مدت کم نیز محبوبیت بسیاری در میان کاربران، به ویژه کاربران ایرانی کسب نموده ­است.

به نقل از خبرگزاری Fars News، آقای "بهروز کمالیان" مدیر گروه امنیتی "آشیانه" ، گفته­‌اند یکی از اعضای این گروه که کارشناس آسیب­‌پذیری‌­های تحت وب است و "پیمان دالوند" نام دارد، یک آسیب‌­پذیری امنیتی در ابزار پیام‌­رسان Telegram پیدا کرده ­است.

بازگشت به کدهای مورس!

نرم‌­افزار Telegram دارای یک پنل تحت وب می‌­باشد که از این طریق و از راه دور می­‌توان با تلفن همراه ارتباط برقرار کرد. آسیب­‌پذیری مذکور که از نوع Cross site request forgery - CSRF می‌­باشد، در پنل مدیریتی تحت وب این ابزار یافت شده­ است.

در نرم‌­افزار Telegram امکانی وجود دارد که با استفاده از آن می‌توان حساب کاربری را غیرفعال نمود. هکرها و مهاجمان با استفاده از آسیب‌­پذیری مذکور می­‌توانند یک لینک جعلی برای کاربران در محیط چت­‌ها  و یا سایر صفحات وب ارسال کنند. در صورتی که کاربر قربانی بر روی این لینک کلیک کند،  تمامی اطلاعات و حساب کاربری وی از بین خواهد رفت.

همچنین آسیب‌پذیری دیگری نیز در Telegram کشف شده ­است که در آن با حفره موجود در گزینه فراموشی رمز عبور، رمز عبور کاربران به صورت هش شده قابل مشاهده­ است.

مدیر گروه امنیتی آشیانه گفته ­است که آسیب‌­پذیری­های مذکور را به مدیران شرکت تلگرام اعلام نموده ­است و در انتظار رفع آن هستند. همچنین این­ دو مورد را در سایت­‌های معتبر خارجی نیز ثبت نموده­‌اند.

منبع : سایت شرکت امن افزار

  • ابوذر منتظرالقائم

به تلگرام اعتباری نیست...گزینه جایگزین چاپارها هستند!

۱۹
فروردين

یک برنامه کاربردی پیام­‌رسان است که در میان کاربران ایرانی محبوبیت فراوانی داشته و بسیار مورد استفاده است. مالکین روسی این برنامه می‌­گویند که Telegram یک نرم‌­افزار پیام­‌رسان  است که تمام تمرکز آن بر سرعت و امنیت است. این ابزار بسیار سریع، ساده و رایگان است. در Telegram کاربران امکان ارسال و دریافت پیام، عکس، فیلم و انواع فایل مثل mp3، Zip، doc و غیره را دارند. Telegram یک ابزار پیام­‌رسان Cloud-base است، به همین دلیل امکان استفاده از آن به صورت هم‌زمان در موبایل، تبلت و کامپیوتر برای کاربران موجود است، زیرا کلیه پیام­‌های ارسالی و دریافتی در Telegram به شکل بلادرنگ در تمامی دستگاه­‌های مورد استفاده کاربران همگام­‌سازی (Sync) می‌­شود.

این ابزار به واسطه محبوبیت آن مورد توجه پژوهشگران امنیتی و مهاجمان قرار گرفته ­است. پیش­‌تر خبری در رابطه با کشف یک آسیب­‌پذیری امنیتی توسط هکرهای سرشناس ایرانی در Telegram منتشر نمودیم.

به نوشته وب‌­سایت Seclist، به تازگی آقای "Eduardo Alves" موفق به کشف چندین آسیب­‌پذیری در Telegram شده­­‌اند. ایشان گفته‌­اند که برای دسترسی به این نرم‌­افزار غالبا یک کد ۵ رقمی ارسال می­‌شود که با استفاده از آن کاربران احراز هویت می­‌شوند. در این کد و نحوه استفاده از آن آسیب­‌پذیری­‌هایی یافت شده ­است که در ادامه به شرح آن­‌ها می­‌پردازیم:

  • my.telegram.org Denial Of Service

    در صورتی که در و‌ب­‌سایت my.telegram.org کاربری پنج بار متوالی شماره تلفن اشتباه را وارد نماید، مسدود خواهد شد. اما با وجود ضعف یافت­‌شده، امکان دور زدن این مورد وجود دارد و مهاجمان با ارسال تعداد بسیار زیادی درخواست می­‌توانند این و‌ب­‌سایت را از سرویس­‌دهی خارج نمایند.

  • Bypass 5 minutes limit to input token

    برای احراز هویت کاربران در وب‌­سایت web.telegram.org یک توکن ارسال می­‌شود که کاربران برای وارد نمودن آن ۵ دقیقه فرصت دارند.  اما با استفاده از محیط متنی  Telegram CLI)Telegram) امکان دور زدن این محدودیت وجود دارد.

  • Telegram Denial Of Service in token request

    با ارسال کدهای نامعتبر متعدد در هنگام احراز هویت، کاربران عادی امکان درخواست کد جدید را برای مدت زمان نامحدودی ندارند. در نتیجه سرویس درخواست توکن جدید برای این قشر از کاربران از دسترس خارج خواهد شد.

  • User identity validation absence

    در وب‌­سایت web.telegram.org برای مدیریت Session و کنترل دسترسی­­‌های کاربران از مکانیزم­‌های امنی استفاده نشده­‌است، بنابراین مهاجمان امکان سرقت توکن کاربران و در دست گرفتن کنترل اکانت آن­ها را خواهند داشت.

  • Hijacking account and importing contacts

    اگر کاربران برای احراز هویت از two-step verification استفاده نمایند و مهاجم با استفاده از آسیب­‌پذیری­­‌های مذکور موفق به سرقت توکن شود، امکان وارد کردن اسامی مورد نظر مهاجم در لیست مخاطبین تلفن قربانی فراهم می­‌گردد.

منبع : سایت شرکت امن پرداز

  • ابوذر منتظرالقائم
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم