ضعف امنیتی بزرگ در اپلیکیشنهای پیامرسانی
امروزه اکثر دارندگان گوشیهای هوشمند از اپلیکیشنهای پیامرسانی مثل تلگرام یا وایبر استفاده میکنند. این قبیل از اپلیکیشنها هنگام نصب از کاربران خود میخواهند تا شماره تلفن همراهشان را وارد کنند؛ سپس پیامکی برای کاربر ارسال میشود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر میخواهد که رمز ارسالشده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل میکند. تا زمانی که کاربران از سیمکارتهای فیزیکی (مشابه نمونههای رایج در ایران) استفاده کنند، مشکلی جدی پیش نمیآید.
امروزه در بسیاری کشورهای دنیا شماره تلفنهای برخط صرفا جهت ارسال و دریافت پیامک بهوسیلهی اینترنت ارایه میشوند. اکثرا این شمارهها بهصورت اشتراکی هستند و معمولا برای چند ماه خریداری میشوند و پس از سپری شدن مدتزمان خریداریشده، شمارهی موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده میشود. فرض کنید شخصی با شمارهی اشتراکی خود، اپلیکیشن پیامرسانی را ثبت کرده باشد و اشتراک خط خریداریشده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شمارهی خریداریشدهی خود ثبت کند؛ در اینصورت به لیست مخاطبان و تمام پیامهای موجود در اپلیکیشن شخص اول دسترسی خواهد داشت. این آسیبپذیری امنیتی که میتوان آن را بهنوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است.
شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان میدهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیامهای تمامی کاربران قبلی قابلدسترس هستند.
پیامهای کاربران اپلیکیشن تلگرام ثبتشده با یک شماره تلفن آنلاین
طبق بررسیهای صورت گرفته، اکثر اپلیکیشنهای پیامرسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده میکنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجهی بررسیهای انجامشده روی معروفترین اپلیکیشنهای پیامرسانی را نشان میدهد. این تصویر بیان میکند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شدهاند.
تعداد اپلیکیشنهای فعالشده با یک شماره تلفن آنلاین در یک روز
اگرچه برخی از اپلیکیشنهای پیامرسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیلهی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشنهای فعال در دیگر دستگاهها ارسال میکنند، ولی در این مدتزمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشنهای فعال بر روی دستگاههای دیگر را غیرفعال کنند. شاید بهتر است توسعهدهندگان اپلیکیشنهای پیامرسانی از احراز هویت مبتنی بر تماس بهجای ارسال پیامک بهره بگیرند.
با سلام
به نظر من اطلاعتی که در تلگرام ارسال و دریافت میشه بعد دریافت مدیا از قسمت Shared Media فایل مورد نظر رو پاک کنید این باعث میشود که در سرور عکس های دریافتی یا ارسالی ذخیره نشود و در مواقع ای که فردی دیگری از شماره تلفن شما تلگرام نصب کرده حداقل به مدیا های شما دسترسی پیدا نمیکند. همچنین لیست چت هایی که نمیخواهین لو برود از قسمت Clear history پاک کنید . با تشکر
تلگرام چنینی گزینه ای دارد که می توانید همه چیز را از شمارهموبایل قبلی به شمارهای جدید انتقال بدهید.
پس موضوع تو تلگرام منتفی.
وقتی جایزه واسه هک کردن برنامشون میزارن حتما موردی ندارن دیگه اونم روس ها، آمریکایی نیستن که یه باگ بزرگ اندازه سوراخ جورابشون توش پیدا بشه 🙂
سلام!
قبل از فروش یا منسوخ شدن سیم کارت باید حساب کاربری هر یک از اپلیکشن ها را حذف کنند تا مشکلاتی در آینده برایشان بوجود نیاید.
اکثر اپلیکیشن ها گزینه حذف حساب را دارا هستند 🙂
سلام عرض ادب
این مشکل در تلگرام به راحتی قابل حله
شما میتوانید با فعال کردن قابلیت Two-Step Verification این مشکل رو به راحتی حل کنید.
به همین سادگی 😉
اگه بریم تو سایت خود تلگرام و از اونجا حذف کنیم همچین مشکلی پیش نمیاد
درسته