کمیته رکن چهارم -در حالی شبکهی اجتماعی تلگرام به محبوبترین نرمافزار ارتباطی کاربران ایرانی تبدیل شده است که چندین آسیبپذیری خطرناک در آن وجود دارد.
به گزارش کمیته رکن چهارم،این نرمافزار محبوب پیامرسان که توسط توسعهدهندگان روسی ایجاد شده است، از دی ماه سال گذشته که روزانه ۱ میلیارد پیام در آن منتشر میشده است با شکستن رکوردها در حال حاضر روزانه ۱۰ میلیارد پیام را جابهجا میکند. با این حال محبوبیت این نرمافزار هم مانند بسیاری دیگر از نرمافزارها باعث میشود نگاه پژوهشگران امنیتی و البته نفوذگران به سمت آن باشد.
بهتازگی محقق امنیتی به نام ادواردو آلوز چندین آسیبپذیری را در این نرمافزار و در نسخهی تحت وب آن کشف کرده است که در ادامه آورده شدهاند:
۱- آسیبپذیری انسداد سرویس در my.telegram.com؛ در این وبگاه رفتاری وجود دارد که یک کاربر پس از ۵ تلاش ناموفق در وارد کردن شماره تلفن، مسدود شود. اما به نظر میرسد این رفتار به درستی تعریف نشده است و امکان دور زدن آن و در نتیجه ارسال درخواستهای بیشمار که منجر به حملات انسداد سرویس میشود، وجود دارد.
۲- دور زدن محدودیت ۵ دقیقه در وارد کردن توکن؛ زمانی که کاربر قصد ورود به حساب کاربری وب را دارد، باید یک توکن که به تلفن همراه وی ارسال شده است را در مدت زمان کمتر از ۵ دقیقه در وبگاه وارد نماید، اما در صورتی که از نسخهی ترمینال تلگرام استفاده شود، این محدودیت زمانی وجود ندارد.
۳- انسداد سرویس در ارسال درخواست توکن؛ در صورتی که کاربر به اشتباه توکنهایی را وارد نماید، برای مدت زمان طولانی دیگر نمیتواند توکن جدید درخواست کرده و در نتیجه سرویس تلگرام برای وی مسدود میشود.
۴- مشکلات احراز هویت کاربران؛ سازوکارهای احراز هویت در web.telegram.org به نحو صحیحی ایجاد نشده است و مهاجم سایبری این امکان را دارد که از این آسیبپذیری سوءاستفاده کرده و بدون احراز هویت توکن قربانی را به دست بگیرد.
۵- سرقت حساب کاربری تلگرام؛ در صورتی که مهاجم بتواند توکن قربانی را با آسیبپذیری شمارهی ۴ به دست آورد، با بازنشانی (ریسِت) حساب کاربری قربانی میتواند در نهایت کنترل کامل حساب تلگرام را به دست بگیرد.
تلگرام هنوز هیچ توصیهنامهای در مورد این آسیبپذیریها منتشر نکرده است. با این حال به کاربران توصیه میشود تا رفع این آسیبپذیریها از نسخههای تحت وب این نرمافزار استفاده نکنند.
منبع:مرکز ماهر
