به نقل از بلاگ رسمی تلگرام: برخی از رسانه ها از حمله ی سنگین به تلگرام در کشور ایران خبر دادند و ما اتفاقی را که افتاده است را اینجا شرح می دهیم.
افراد مشخصی در ایران با استفاده از روش های ساده که در نرم افزار تلگرام گوشی شما نیز وجود دارد چک کرده اند که چه شماره هایی دارای تلگرام هستند و در نتیجه اطلاعاتی که به دست آمده است همان اطلاعات عمومی است که شما در نرم افزار تلگرام خود پس از ثبت contact جدید در تلگرام مشاهده می کنید. این اطلاعات شامل شماره(که از قبل داشته اید)، نام و نام خانوادگی، نام کاربری(username) و تصاویر پروفایل شما و برخی اطلاعات کوچک مورد استفاده در اپلیکیشن تلگرام هستند.
همانطور که متوجه شدید اطلاعات خصوصی از از حساب های کاربری قابل دسترسی نیست.
تنها اتفاقی که افتاده است این است که به دلیل این که حساب های کاربری تلگرام بر اساس شماره تلفن قرار دارند و توسط اشخاص دیگر برای پیدا کردن شما استفاده می شوند، شخصی می تواند با افزودن شما به Contact های خود، چک کند که آیا شما در تلگرام عضویت دارید و یا خیر.
اگر بخواهیم به صورت عمومی و کمی فنی بیان نماییم همه می دانند که نرم افزار تلگرام متن باز است و اطلاعات برنامه ی آن در اختیار همه قرار دارد و همچنین برای این که برنامه نویسان آن را به خوبی توسعه دهند یک API(Application Programming Interface) یا رابط برنامه نویسی کاربردی برای سرویس خود ایجاد کرده است و در این API ابزارهایی را برای چک کردن شماره تلفن قرار داده است تا شما در برنامه هایی که می سازید(مانند موبوگرام و…) بتوانید از آن ها بهره ببرید. اگر کمی با حرفه ی برنامه نویسی در ارتباط باشید و یا اطلاعاتی داشته باشید می توانید درک کنید که به سادگی می توان با ایجاد یک حلقه و همچنین داشتن یک لیست شماره تلفن(که پایگاه داده آن از ضعف امنیتی فنی و سازمانی اپراتورها در اختیار همه قرار گرفته است) در کسری از ثانیه شروع به چک کردن شماره ها و در صورت وجود هر شماره تلفن اطلاعات عمومی آن را ذخیره کنید و سپس با استفاده از بی اطلاعی مردم نسبت به موضوعی که اتفاق افتاده است نام خود را هکر بگذارید!
در حالی که تمام متخصصین داخلی از این امر که در هر شهر چه تعداد شماره فعال تلگرام وجود دارد اطلاع داشتند و این که چه کسانی چگونه این اطلاعات را به دست می آورند هم برای همه ی این متخصصین و همکارانمان آشکار است و حتما در مورد آن گفتگو می کنند و می دانند که کی به کی است، احتمالا دست های سیاسی پشت پرده ی این ماجرا قرار دارند. خیلی ها که قصد فیلتر تلگرام را داشتند، خیلی ها که به فکر رانت به شرکت های سازنده بسیار نا امن پیام رسان داخلی هستند و خیلی ها که قصد دارند از کار مردم سر در بیاورند و نمی توانند اطلاعات آن ها را رسد کنند قطعا از چنین خبرسازی هایی نهایت استفاده را خواهند برد تا به جای شیوه ی قدیمی خود که ضربه زدن بود از روش قانع کردن استفاده نمایند و فعلا چراغ خاموش اند و تلاش آن ها را خواهیم دید و شناخته می شوند.
امنیت از نظر متخصصین میکروفون به دست داخلی به معنای دسترسی آن ها به اطلاعات ما و اقدام متقابل در زمان های متفاوت است و از این که نمی دانند اطلاعات ما چرا اینقدر سخت رمزنگاری می شود نگرانند و البته رمزنگاری نشدن اطلاعاتمان و یا دسترسی آن ها به اطلاعات مان به راحتی در سرورهای داخلی این نگرانی را رفع می کند.
با این حال، پیام رسان تلگرام جهت بررسی انبوه شماره ها نیز دسترسی هایی را در API خود اعمال می کند و اتفاقی که افتاده است می تواند برای پیام رسان های دیگر مانند WhatsApp و یا Line و یا Messenger نیز اتفاق بیفتد و یک ضعف امنیتی محسوب نمی شود.
تایید دو مرحله ای(2-step verification) را فعال کنید
همانطور که شاید خیلی از شماها در جریان اطلاعات هستید، می توان با Sniff کردن پیامک های گوشی تلفن همراه یک شخص خاص. کد فعال سازی تلگرام وی را سرقت کرد. به این صورت که هکر در ابتدا به شما یک برنامه ی .apk ارائه می کند که طبق معمول شما نیز مجوزهای موردنیاز آن را نخوانده تایید می کنید و نرم افزار نصب و فعال می شود و شروع به ارسال پیامک های شما به هکر می کند. از آن جا که هکر شما را احتمالا می شناسد و یا شماره تلفن شما را نیز با همین روش به دست آورده است، بر روی دستگاه خود اقدام به ورود به حساب کاربری تلگرام شما با استفاده از شماره تلفن شما می کند و طبق معمول تلگرام برای این که متوجه شود این شما هستید که قصد لاگین دارید یک پیامک حاوی کد فعالسازی برای شما ارسال می کند و با توجه به این که هکر از قبل به پیامک های شما دسترسی دارد می تواند با برداشتن آن کد به حساب کاربری شما وارد شود.
همان طور که روش بالا را مطالعه فرمودید باز هم ضعفی از جانب تلگرام اتفاق نیافتاده است و این ضعف کاربر است که به هکر اجازه داده است که پیامک های وی را بخواند. اما تلگرام برای جلوگیری از این نوع سوء استفاده ها از کاربران ناآگاه نیز روش امنیتی دیگری را ارائه کرده است که تایید دو مرحله ای نام دارد. با فعال کردن این ویژگی شما علاوه بر وارد کردن کد پیامک شده نیاز به یک پسورد نیز دارید که تنها و تنها خودتان از آن اطلاع دارید و در اخیار شخص دیگری قرار ندارد و هکر در این مورد کاری از دستش بر نمی آید. تایید دومرحله ای را می توانید به روش زیر فعال نمایید.
فعال سازی 2-Step Verification
- به بخش settings بروید
- در بخش Privacy And Security بر روی تایید دو مرحله ای(Two Step Verification) کلیک کنید.
- پسورد مناسب و پیچیده و غیرقابل حدسی را انتخاب کنید(این رمز هنگامی که بر روی کامپیوتر یا دستگاه دیگری اکانت شما بخواهد فعالیت کند از شما پرسیده می شود و شما علاوه بر پیامک ارسالی، این رمز را نیز وارد نمایید و می توانید از هک تلگرام خود جلوگیری نمایید)
نظر شما راجع به حجمه ی حواشی و اخبار پیرامون نرم افزار تلگرام چیست؟ شما چگونه فکر می کنید؟ به ما بگویید.