ضعف امنیتی بزرگ در اپلیکیشن‌های پیام‌رسانی

مهدی دادخواه ۱۹ مهر ۱۳۹۴ | ۱۵:۴۵ 22 اکتبر 2018
اپلیکیشن پیام رسانی

امروزه اکثر دارندگان گوشی­‌های هوشمند از اپلیکیشن‌­های پیام‌رسانی مثل تلگرام یا وایبر استفاده می­‌کنند. این قبیل از اپلیکیشن­‌ها هنگام نصب از کاربران خود می‌خواهند تا شماره‌ تلفن همراه‌شان را وارد کنند؛ سپس پیامکی برای کاربر ارسال می‌شود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر می‌خواهد که رمز ارسال‌شده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل می‌کند. تا زمانی که کاربران از سیم‌کارت­‌های فیزیکی (مشابه نمونه‌های رایج در ایران) استفاده ­کنند، مشکلی جدی پیش نمی‌آید.

‌‌‌‌‌

امروزه در بسیاری کشورهای دنیا شماره­ تلفن­‌های برخط صرفا جهت ارسال و دریافت پیامک به‌وسیله‌ی اینترنت ارایه می­‌شوند. اکثرا این شماره­‌ها به‌صورت اشتراکی هستند و معمولا برای چند ماه خریداری می­‌شوند و پس از سپری شدن مدت‌زمان خریداری‌شده، شماره‌ی موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده می­‌شود. فرض کنید شخصی با شماره‌ی اشتراکی خود، اپلیکیشن پیام‌رسانی را ثبت کرده باشد و اشتراک خط خریداری‌شده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شماره‌ی خریداری‌شده‌ی خود ثبت کند؛ در این‌صورت به لیست مخاطبان و تمام پیام­‌های موجود در اپلیکیشن شخص اول دسترسی خواهد داشت. این آسیب‌پذیری امنیتی که می­‌توان آن را به‌نوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است.

شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان می‌­دهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیام­‌های تمامی کاربران قبلی قابل‌دسترس هستند.

تلگرام

پیام‌های کاربران اپلیکیشن تلگرام ثبت‌شده با یک شماره تلفن آنلاین

طبق بررسی­‌های صورت گرفته، اکثر اپلیکیشن­‌های پیام‌رسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده می­‌کنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجه‌ی بررسی­‌های انجام‌شده روی معروف‌­ترین اپلیکیشن­‌های پیام‌رسانی را نشان می­‌دهد. این تصویر بیان می­‌کند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شده‌­اند.

32323

تعداد اپلیکیشن‌های فعال‌شده با یک شماره تلفن آنلاین در یک روز

اگرچه برخی از اپلیکیشن­‌های پیام‌رسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیله‌ی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشن­‌های فعال در دیگر دستگاه­‌ها ارسال می­‌کنند، ولی در این مدت‌زمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشن‌‌های فعال بر روی دستگاه‌­های دیگر را غیرفعال کنند. شاید بهتر است توسعه‌دهندگان اپلیکیشن­‌های پیام‌رسانی از احراز هویت مبتنی بر تماس به‌جای ارسال پیامک بهره بگیرند.

‌‌‌   ‌‌‌‌

برچسب‌ها :
دیدگاه شما

۲۱ دیدگاه
  1. Ramin Ramin

    با سلام
    به نظر من اطلاعتی که در تلگرام ارسال و دریافت میشه بعد دریافت مدیا از قسمت Shared Media فایل مورد نظر رو پاک کنید این باعث میشود که در سرور عکس های دریافتی یا ارسالی ذخیره نشود و در مواقع ای که فردی دیگری از شماره تلفن شما تلگرام نصب کرده حداقل به مدیا های شما دسترسی پیدا نمیکند. همچنین لیست چت هایی که نمیخواهین لو برود از قسمت Clear history پاک کنید . با تشکر

  2. amin amin

    تلگرام چنینی گزینه ای دارد که می توانید همه چیز را از شمارهموبایل قبلی به شمارهای جدید انتقال بدهید.
    پس موضوع تو تلگرام منتفی.
    وقتی جایزه واسه هک کردن برنامشون میزارن حتما موردی ندارن دیگه اونم روس ها، آمریکایی نیستن که یه باگ بزرگ اندازه سوراخ جورابشون توش پیدا بشه 🙂

  3. LordRoid.ir LordRoid.ir

    سلام!
    قبل از فروش یا منسوخ شدن سیم کارت باید حساب کاربری هر یک از اپلیکشن ها را حذف کنند تا مشکلاتی در آینده برایشان بوجود نیاید.
    اکثر اپلیکیشن ها گزینه حذف حساب را دارا هستند 🙂

  4. رضا فقری رضا فقری

    سلام عرض ادب
    این مشکل در تلگرام به راحتی قابل حله
    شما میتوانید با فعال کردن قابلیت Two-Step Verification این مشکل رو به راحتی حل کنید.
    به همین سادگی 😉

  5. محمد محمد

    اگه بریم تو سایت خود تلگرام و از اونجا حذف کنیم همچین مشکلی پیش نمیاد

    1. Ali Ali

      درسته

  6. elham fathi elham fathi

    با سلام وتشکر از زحمات نویسنده محترم
    می تونم بگم موضوع خیلی جالبی بود وممنون میشم مقالات بیشتری در مورد این موضوع بنویسید
    البته یک پیشنهادم براتون دارم که می تونه یک تبایغ خوبم برای دیجی کالا باشه و نشان دهنده ویژگی های برتر این سایت فروش اینترنتی باشه
    “امنیت در تجارت الکترونیک ”
    با سپاس

  7. محمد محمد

    دوستان تو برنامه تلگرام قابلیت 2 پسورد فعال کنید دیگه خیالتون از همه چی راحت میشه.نه از این طریق و نه هیچ ربات دیگه ای نمیتونه تلگرامتونو هک کنه.کافیه تو گوگل بزنید فعال کردن 2 پسورد تلگرام تا آموزش کاملشو واستون بیاره

  8. حامد حامد

    مسساله اینه که تا جایی که بنده اطلاع دارم هر شماره که ثبت میشه مختص همون شماره هست و در صورتی که کسی بخواد با همون شماره دوباره رجیستر کنه کل اطلاعات نرم افزار روی دستگاه اول پاک میشه. این در واقع قابلیتیه که برای گوشی های گم شده یا دزدیده شده در نظر گرفتن.این موضوع حتی در سایت اپلیکیشن ها هم به وضوح ذکر شده. عجیبه که می فرمایید میشه از یک شماره مشترک ثبت نام کرد.

  9. سید ابوالفضل سجادی سید ابوالفضل سجادی

    با سلام خدمت تمامی دوستان
    باید خدمتتون عرض کنم که در لاین، وایبر و اپلیکیشن های دیگر شاید این ضعف به چشم بخورد ولی در اپلیکیشن تلگرام شما می توانید با فعال سازی تایید دو مرحله ای یک گذرواژه دوم با تعداد کارکتر های زیاد و امنیت بالا و همچنین یک آدرس ایمیل برای بازگردانی و فراموش کردن این گذرواژه ثبت نمایید، در این حالت حتی اگر شخصی دیگری به گوشی تلفن همراه شما یا به نحوی به سیم کارت شما دسترسی داشته باشد بعد از وارد کردن شماره تلفن در اپلیکیشن تلگرام و دریافت کد تایید از طرف تلگرام باید این گذرواژه را که قبلا برای آن تعریف نموده اید را وارد نماید تا بتواند وارد محیط تلگرام شود.
    پس نتیجه میگیریم که این نقطه ضعف امنیتی در اپلیکیشن تلگرام برطرف شده است و دوستان می توانند با فعال سازی آن به راحتی و با امنیت بالا از محیط تلگرام استفاده نمایند.
    موفق باشید و پیروز

  10. نیما نیما

    به نظر من این ضعف اپلیکیشن های پیام رسان نیست بلکه ضعف امنیت شماره های برخط هست که نه تنها اپلیکیشن های پیام رسان بلکه سایر تایید های پیامکی را به خطر می اندازه. خیلی از رمزهای موقت از طریق پیامک ارسال می شوند که اگر از این شماره ها استفاده بشه امنیت کاربر به خطر می افتد.

  11. امیر امیر

    اوووف عجب ضعف امنیتی بزرگی!!!! چقدر هم مهم و کاربردی بود برای تمامی کاربران
    پس دیگه نباید از سرویس هایی که شماره خطوط رو به صورت اشتراکی ارائه میدن که البته در ایران وجود نداره برای ساخت اکانت در این اپلیکیشن های نا امن استفاده کنیم. چون ممکنه اسامی معمولا مستعار افرادی که بهشون پیام دادیم فاش بشه و فاجعه امنیتی به بار بیاد.

  12. Ali Ali

    خب میشه رفت از این لینک خود سایت تلگرام برنامشو غیرفعال کرد اونوقت نفر بعدی نصب کنه دیگه هیچ اثری از نفر قبلی باقی نمیمونهhttps://my.telegram.org/deactivate

  13. سهیل سهیل

    نادانی کاربر هارو نمیشه به عنوان مشکل امنیتی گردن برنامه انداخت

    1. bijan bijan

      برادر این هم دقیقا یک ضعف امنیتی به حساب میاد.
      توضیح خیلی سادش اینه که تکنولوژی برای کمک به انسانه و دقیقا باید جلوی همین نادانی فرد رو بگیره و اصلاح کنه.
      مثال خیلی سادشم اینه که در بعضی وبسایت ها و برنامه ها کاربرو مجبور میکنه که برای رمز عبور از از ترکیب حروف و اعداد استفاده کنه تا رمز رو قوی کنه و از گذاشتن رمز های ساده جلوگیری کنه (دقیقا از همون نادانی).

  14. مهدی مهدی

    مازیار عزیز،
    وقتی گفته میشه احراز هویت مبتنی بر تماس، یعنی با تماس کد رو بگه، بنابراین امکان فعال سازی این اپلیکیشن ها روی خطوط انلاین پبامک غیر ممکنه میشه چون خطوط انلاین پیامک توانایی دریافت تماس رو ندارن، اگر داشته باشن کلا وارد مقوله voip میشن که از بحث ما خارج هستند.
    در مورد پاک کردن پیامها، بله میتونید پیامهارو پاک کنید ولی ایا تک تک مخاطبین ذخیره شده رو هم میخواهید پاک کنید؟ اگه جواب شما بله است باید بگویم شاید بهترین راه حذف اکانت تلگرام باشد تا حذف پیام ها. همانطور که اطلاع دارید با حذف اپلیکیشن تلگرام اکانت تلگرام شما باقی می ماند و جهت حذف اکانت تلگرام خود باید به سایت این اپلیکیشن مراجعه و اقدام به حذف ان نمایید.

    اما نکته مهمتر، ما در اسیب پذیریهای امنیتی بر شواهد و اسناد موجود دلالت میکنیم و همیشه دید منفی را در نظر میگیریم یعنی خود را جای مهاجم یا هکر میگذاریم. مشاهدات ما بر روی 124 خط انلاین نشان داده است به این شیوه امکان سو استفاده های زیادی فراهم است.

    در پایان از توجه شما سپاس گذاری میکنم

    1. maziar maziar

      خب کسی که میدونه سیمکارت منقضی میشه خب باید فکر همه چیز رو بکنه دیگه…مثلا مخاطبهاش رو حذف کنه…بهرحال حذف هم نکنه میدونه این شماره اش میره دست یکی دیگه…حالا چه مخاطبین باهاش باشه یا نه مجبوره مخاطبین رو به شماره جدیدش انتقال بده حالا به هر روشی.یا نهایتا میره اکانت اش رو حذف میکنه.کار سختی نیست.مورد بعدی اینکه این بحث فقط جاهای خاصی که از همین شماره های برخط دارن ممکنه باشه.که محدود میشه به یک جغرافیای خاص.همه جا از این اشتراک خط ها ندارن.توی اون جغرافیا هم بهرحال خیلی راحت میشه جلوگیری کرد…کسی که میدونه شماره اش مال کسی دیگه میشه باید حساب کتاب کنه دیگه…مثل اینه که من بگم آقا من سیمکارت ام رو میخوام بدم به کسی دیگه یا اصلا بفروشم.مثلا!!خب احتمال اینکه طرف سواستفاده کنه زیاده دیگه…من قبلش مثلا مخاطبین رو حذف میکنم…اینکه توی این شرایط و با این ویژگی طرف هیچ اقدامی نمیکنه اگر سواستفاده هم بشه حقش بوده.بدون اطلاع کافی از چیزی استفاده کرده…نمیشه اسم این رو ضعف امنیتی گذاشت…تلگرام پسر عموی این اپراتورهای برخط نیست بیاد واسه هر کدوم یه ویژگی تعریف کنه و ببینه کدوم خطهاشون اشتراکی هست کدوم نیست…نمیشه اسمش رو ضعف امنیتی گذاشت…حداقل من نمیتونم.
      بهرحال ممنون واسه مقاله

  15. RetriCa RetriCa

    ممنون از مطالب بروز و مفیدتون!

    آرزوی موفقیت

  16. maziar maziar

    البته تا زمانی که پیامهات رو پاک نکردی!! اگر قبل از منقضی شدن سیمکارت برای شخص اول اون فرد پیامهاش رو پاک کنه دیگه چیزی نمیمونه که فرد دوم بتونه بهش دسترسی داشته باشه.
    احراز هویت با تماس هم که همونه!! چه فرقی میکنه وقتی موقع ثبت نام پیام بده بهت یا با تماس کد رو بهت بگه؟؟! تو کد رو میزنی و میری توی پیامها حالا چه از طریق تماس چه پیام! بحث هکر هم که جداست!! شما از یجا میگید شخص دوم که شماره تو رو داره میتونه بخونه و این مشکل بدیه از طرفی میگید هکر!! اصلا دو تا معقوله جداست!! اگر هم فکر کنید همون شخص دوم هکره که دیگه من حرفی ندارم!
    خدافظ

    1. *** ***

      خب میره طرف اکانتشو از سایت به طور کامل پاک میکنه اونوقت دیگه نفر بعدی نمیتونه اصن به پیامای طرف قبلی دست پیدا کنه

  17. key2persia key2persia

    عالی بود

    با تشکر از مطلب مفیدتون