ضعف امنیتی بزرگ در اپلیکیشن‌های پیام‌رسانی

زمان مورد نیاز برای مطالعه: ۱ دقیقه
اپلیکیشن پیام رسانی

امروزه اکثر دارندگان گوشی­‌های هوشمند از اپلیکیشن‌­های پیام‌رسانی مثل تلگرام یا وایبر استفاده می­‌کنند. این قبیل از اپلیکیشن­‌ها هنگام نصب از کاربران خود می‌خواهند تا شماره‌ تلفن همراه‌شان را وارد کنند؛ سپس پیامکی برای کاربر ارسال می‌شود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر می‌خواهد که رمز ارسال‌شده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل می‌کند. تا زمانی که کاربران از سیم‌کارت­‌های فیزیکی (مشابه نمونه‌های رایج در ایران) استفاده ­کنند، مشکلی جدی پیش نمی‌آید.

‌‌‌‌‌

امروزه در بسیاری کشورهای دنیا شماره­ تلفن­‌های برخط صرفا جهت ارسال و دریافت پیامک به‌وسیله‌ی اینترنت ارایه می­‌شوند. اکثرا این شماره­‌ها به‌صورت اشتراکی هستند و معمولا برای چند ماه خریداری می­‌شوند و پس از سپری شدن مدت‌زمان خریداری‌شده، شماره‌ی موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده می­‌شود. فرض کنید شخصی با شماره‌ی اشتراکی خود، اپلیکیشن پیام‌رسانی را ثبت کرده باشد و اشتراک خط خریداری‌شده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شماره‌ی خریداری‌شده‌ی خود ثبت کند؛ در این‌صورت به لیست مخاطبان و تمام پیام­‌های موجود در اپلیکیشن شخص اول دسترسی خواهد داشت. این آسیب‌پذیری امنیتی که می­‌توان آن را به‌نوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است.

شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان می‌­دهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیام­‌های تمامی کاربران قبلی قابل‌دسترس هستند.

تلگرام

پیام‌های کاربران اپلیکیشن تلگرام ثبت‌شده با یک شماره تلفن آنلاین

طبق بررسی­‌های صورت گرفته، اکثر اپلیکیشن­‌های پیام‌رسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده می­‌کنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجه‌ی بررسی­‌های انجام‌شده روی معروف‌­ترین اپلیکیشن­‌های پیام‌رسانی را نشان می­‌دهد. این تصویر بیان می­‌کند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شده‌­اند.

32323

تعداد اپلیکیشن‌های فعال‌شده با یک شماره تلفن آنلاین در یک روز

اگرچه برخی از اپلیکیشن­‌های پیام‌رسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیله‌ی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشن­‌های فعال در دیگر دستگاه­‌ها ارسال می­‌کنند، ولی در این مدت‌زمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشن‌‌های فعال بر روی دستگاه‌­های دیگر را غیرفعال کنند. شاید بهتر است توسعه‌دهندگان اپلیکیشن­‌های پیام‌رسانی از احراز هویت مبتنی بر تماس به‌جای ارسال پیامک بهره بگیرند.

‌‌‌   ‌‌‌‌



برچسب‌ها :
دیدگاه شما

پرسش امنیتی *-- بارگیری کد امنیتی --

۲۱ دیدگاه
  1. Ramin

    با سلام
    به نظر من اطلاعتی که در تلگرام ارسال و دریافت میشه بعد دریافت مدیا از قسمت Shared Media فایل مورد نظر رو پاک کنید این باعث میشود که در سرور عکس های دریافتی یا ارسالی ذخیره نشود و در مواقع ای که فردی دیگری از شماره تلفن شما تلگرام نصب کرده حداقل به مدیا های شما دسترسی پیدا نمیکند. همچنین لیست چت هایی که نمیخواهین لو برود از قسمت Clear history پاک کنید . با تشکر

  2. amin

    تلگرام چنینی گزینه ای دارد که می توانید همه چیز را از شمارهموبایل قبلی به شمارهای جدید انتقال بدهید.
    پس موضوع تو تلگرام منتفی.
    وقتی جایزه واسه هک کردن برنامشون میزارن حتما موردی ندارن دیگه اونم روس ها، آمریکایی نیستن که یه باگ بزرگ اندازه سوراخ جورابشون توش پیدا بشه 🙂

  3. LordRoid.ir

    سلام!
    قبل از فروش یا منسوخ شدن سیم کارت باید حساب کاربری هر یک از اپلیکشن ها را حذف کنند تا مشکلاتی در آینده برایشان بوجود نیاید.
    اکثر اپلیکیشن ها گزینه حذف حساب را دارا هستند 🙂

  4. رضا فقری

    سلام عرض ادب
    این مشکل در تلگرام به راحتی قابل حله
    شما میتوانید با فعال کردن قابلیت Two-Step Verification این مشکل رو به راحتی حل کنید.
    به همین سادگی 😉

  5. محمد

    اگه بریم تو سایت خود تلگرام و از اونجا حذف کنیم همچین مشکلی پیش نمیاد

    1. Ali

      درسته

  • 1
  • 2
loading...
بازدیدهای اخیر
بر اساس بازدیدهای اخیر شما
تاریخچه بازدیدها
مشاهده همه
دسته‌بندی‌های منتخب برای شما
X