تاریخ انتشار خبر: ۲۷ , خرداد, ۱۳۹۵ | ۲۱:۵۷:۴۵
کد مطلب : 114516

کشف حفره ی امنیتی تلگرام توسط دو هکر ایرانی +فیلم و تصویر

دو هکر کلاه سفید ایرانی مدعی شدند ضعف امنیتی مهمی را در نرم افزار تلگرام کشف کرده‌اند.

 باشگاه خبرنگاران جوان ، تلگرام مدعی است امن‌ترین پیام رسان اجتماعی است و برای اثبات این ادعا جوایز متنوعی را برای کسانی که بتوانند به این شبکه نفوذ کنند در نظر گرفته است. حالا به تازگی دو هکر کلاه سفید ایرانی مدعی شدند حفره ای امنیتی در نرم افزار تلگرام پیدا کردند، آنها می گویند از طریق این حفره میتوان حجم بیشتری از طول معمول یک پیام  (بسیار بزرگتر از محدودیت ۴۰۹۶ بایت) را ارسال کرد.

این دو هکر در وبلاگ خود توضیح داده اند:

“برای جلوگیری از ارسال تعداد زیادی پیغام توسط یک کاربر‌ در زمان محدود (و در نتیجه ایجاد اختلال در شبکه)، تعداد ارسال های مجاز محدود شده است. در صورت عدول از این حد، کاربر تا چندین دقیقه امکان ارسال پیغام به هیچ اکانت دیگری را ندارد. همچنین مشاهده کردیم که طول پیغام های متنی نمی تواند کمتر از ۱ و بیش تر از ۴۰۹۶ کاراکتر یونیکد باشد

آسیب پذیری کشف شده، در قسمتی از نرم افزار واقع شده است که وظیفه ی کنترل طول پیغام های ارسالی (متنی) را دارد. در واقع در اثر وجود یک خطای برنامه نویسی در کد برنامه، شخص می تواند پیغام متنی با طول دلخواه ارسال نماید.”

این دو هکر مدعی شده اند که در کانال تلگرامی خود دو  پیغام یکی با طول ۰ کاراکتر (بایت) و یکی با طول ۳۰ هزار کاراکتر (بسیار بزرگتر از محدودیت ۴۰۹۶ بایت) ارسال کرده اند.

عکس زیر در سایت تلگرام قرار گرفته است و محدودیت ۴۰۹۶ بیتی را تایید می کند.

کشف ضعف امنیتی تلگرام توسط دو هکر ایرانی

فیلم منتشر شده توسط این دوهکر را مشاهده کنید.

spaceplay / pause

qunload | stop

ffullscreen

shift + slower / faster

volume

mmute

seek

 . seek to previous

۱۲۶ seek to 10%, 20% … ۶۰%

این فیلم را میتوانید از اینجا دانلود کنید

شاید به ظاهر این مشکل امنیتی موضوع خاصی نباشد. اما این دو هکر در مورد چرایی خطرناک بودن این آسیب پذیری امنیتی میگویند:

“با توجه به اینکه هر کاراکتر لاتین یک بایت از حافظه را اشغال می کند، می توان اقدام به ارسال چندین میلیون (یا میلیارد) کاراکتر بی معنی (مثلا a) در قالب یک پیغام متنی به یک کاربر کرد.

در جریان آزمایشات، دو واکنش از دستگاه های مقصد (مثلا تلفن همراه گیرنده پیغام) قابل رویت بود:

۱-پهنای باند اینترنت کاربر مقصد بر حسب طول پیغام ارسالی تقلیل رفته و پایان می پذیرد.

۲-دستگاه مقصد با کمبود حافظه روبرو شده و Crash می کند.

با توجه به آنچه گفته شد، ممکن است شما یک روز صبح به دلیل اینکه تلفن همراهتان Crash کرده (و در نتیجه زنگ هشدار دهنده به درستی کار نکرده است) دیرتر از سایر روز ها از خواب برخیزید و متوجه شوید‌ که دستگاهتان مقدار زیادی پهنای باند در قالب پیام های متنی که از طرف یک شخص ناشناس ارسال شده، مصرف نموده است. از آن بدتر با توجه به اینکه طبق اصول تلِگرام لازم نیست فرستنده ی پیام حتما یکی از مخاطبان شما باشد، هیچگاه نخواهید توانست مسبب اصلی را پیدا کنید (چرا که وی می تواند برای ارسال از یک شماره ی فرعی استفاده نماید).

هدف از گزارش این آسیب پذیری، مطلع کردن کاربران از خسارات احتمالی (بعضا مالی) نرم افزار هایی است که به سادگی به آن ها اعتماد می کنیم. گفتنی است نرم افزار مذکور برای اثبات نفوذ ناپذیر بودن دو مرتبه اقدام به برگزاری مسابقاتی با جوایز ۲۰۰ و ۳۰۰ هزار دلار کرده که هردو بدون برنده پایان پذیرفته اند.”

این ادعا در وب سایت معتبر IT Security News نیز منتشر شده است، این دو هکر می گویند هنوز راهی برای  ارتباط و ارسال این مشکل برای تلگرام نیافتند.

لازم به ذکر است هکر های کلاه سفید به هکر هایی میگویند که ضعف های امنیتی را کشف و برای بهبود به توسعه دهندگان نرم افزار ها اطلاع می دهند.

انتهای پیام/