تلگرام هویت کاربران را فاش می کند

به گزارش کارگروه شبکه‌های اجتماعی سایبربان؛ مهندسان نرم‌افزار هنگ‌کنگی به تازگی به تازگی هشدار داده‌اند که تلگرام دارای یک نقص امنیتی است. این آسیب‌پذیری به مجرمان سایبری و سازمان‌های اطلاعاتی اجازه می‌دهد تا شماره تلفن حساب‌های کاربری تلگرام را به دست آورده و به واسطه‌ی آن هویت واقعی افراد را شناسایی کنند.

پیام‌رسان تلگرام به علت پشتیبانی از ارتباطات ناشناس رمزنگاری شده پایان به پایان (end-to-end) و وجود ویژگی‌هایی مانند چت گروهی از محبوبیت خاصی به خصوص میان معترضان چینی برخوردار است.

تلگرام به کاربران اجازه می‌دهد تنها با استفاده از شماره‌ی تلفن خود در آن عضو شوند. سپس افراد برای پنهان‌سازی هویت خود می‌توانند یک نام و تصویر مستعار برای خود انتخاب کنند. آن‌ها حتی می‌توانند از طریق بخش تنظیمات نمایش شماره‌ی تلفن خود را برای دیگران پنهان کنند.

با وجود این پژوهشگران هشدار دادند باگ تلگرام باعث می‌شود، حتی اگر کاربران، حالت نمایش شماره‌ی تلفن هوشمند خود را روی «Nobody» قرار داده باشند، هکرها همچنان بتوانند به شماره‌ی آن‌ها دسترسی پیدا کنند.

در حمله‌ی یاد شده، یک هکر می‌تواند ده‌ها هزار شماره‌ی تلفن همراه را در داخل بخش مربوط به ذخیره‌ی شماره‌ها در تلفن هوشمند قرار بدهد. سپس از طریق آن‌ها به کانال تلگرامی که معترضان یا گروه‌های دیگر در آن سازمان‌دهی شده و به تبادل‌نظر با یکدیگر می‌پردازند متصل گردد. در این حالت برنامه‌ی تلگرام به مهاجم می‌گوید که کدام‌یک از دنباله شماره‌ها، در گروه‌های مورد نظر عضو هستند.

برای مثال سازمان‌های اطلاعاتی چین می‌توانند به کمک حمله‌ی بالا فهرستی از شماره تلفن افراد معترض را به دست آورده و اپراتورهای محلی را وادار کنند که اطلاعات هویت واقعی افراد را به آن‌ها بدهد.

پس از انتشار جزئیات باگ یاد شده، چندین متخصص هنگ‌کنگی دیگر وجود این آسیب‌پذیری را تأیید کردند. این افراد معتقدند که نقص مذکور هم‌اکنون نیز مورد سواستفاده قرار گرفته است. محققان توصیه می‌کنند کاربران تلگرام از شماره‌ی دیگری به غیر شماره‌ی اصلی خود استفاده کنند؛ زیرا در حال حاضر راهی برای جلوگیری از نشت اطلاعات یاد شده وجود ندارد.

مقامات تلگرام در پاسخ به آسیب‌پذیری مذکور اعلام کردند، بات مورد استفاده در گزارش ارسال شده برای ما تنها 2 ثانیه پس از عضو شدن در گروه، از آن اخراج شد. بات موردنظر در این بازه‌ی زمانی تنها موفق شد 85 شماره‌ی را وارد کرده و گزارش بدهد. از طرفی زمانی که یک حساب کاربری یا باگ بر اثر گزارش از گروه بَن می‌شود، روزانه تنها 5 عضو جدید را می‌تواند اضافه کند.

با وجود این به نظر می‌رسد حتی محدودیت یاد شده نیز قابل دور زدن است. مهاجمان می‌توانند به جای استفاده از یک بات، چندین نمونه‌ی مختلف را در نوبت‌های مختلف به کار بگیرند. این مسئله به آن‌ها اجازه می‌دهد تا همه‌ی دنباله‌ی اعداد موردنظر خود را وارد کنند.

از طرفی چیزی که محققان هنگ‌کنگی انتظار دارند حفظ حریم خصوصی کاربران است به این معنی که در هنگام انتخاب گزینه Nobody، هیچ‌کس حتی افرادی که در دفترچه تلفن کاربر وجود دارند نیز نتوانند آن را مشاهده کنند. این در حالی است که تلگرام توضیح می‌دهد ویژگی یاد شده به این گونه عمل نمی‌کند و در واقع هیچ‌گونه باگی وجود ندارد.

مقامات توضیح دادند، درست به مانند واتس‌اپ و فیس‌بوک مسنجر، تلگرام نیز بر پایه شماره‌های تلفن کار می‌کند. به این معنی که کاربران با فهرست شماره‌ی مخاطبان خود را به‌منظور برقراری ارتباط با آن‌ها مشاهده کنند؛ بنابراین بدون در نظر گرفتن نوع تنظیمات، به محض این که یک فرد شماره‌ای را در فهرست مخاطبان خود وارد کند، قادر است آن را ببیند.

مسئله یاد شده چه باگ باشد، چه یک ویژگی معمولی، نقصی است که به کمک آن هویت افراد فاش می‌شود و امکان سوء استفاده از آن وجود دارد.