دو هکر کلاه سفید ایرانی مدعی شدند ضعف امنیتی مهمی را در نرم افزار تلگرام کشف کرده‌اند.

به گزارش خبرنگار دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان ، تلگرام مدعی است امن‌ترین پیام رسان اجتماعی است و برای اثبات این ادعا جوایز متنوعی را برای کسانی که بتوانند به این شبکه نفوذ کنند در نظر گرفته است. حالا به تازگی دو هکر کلاه سفید ایرانی مدعی شدند حفره ای امنیتی در نرم افزار تلگرام پیدا کردند، آنها می گویند از طریق این حفره میتوان حجم بیشتری از طول معمول یک پیام  (بسیار بزرگتر از محدودیت ۴۰۹۶ بایت) را ارسال کرد.

این دو هکر در وبلاگ خود توضیح داده اند:

"برای جلوگیری از ارسال تعداد زیادی پیغام توسط یک کاربر‌ در زمان محدود (و در نتیجه ایجاد اختلال در شبکه)، تعداد ارسال های مجاز محدود شده است. در صورت عدول از این حد، کاربر تا چندین دقیقه امکان ارسال پیغام به هیچ اکانت دیگری را ندارد. همچنین مشاهده کردیم که طول پیغام های متنی نمی تواند کمتر از ۱ و بیش تر از ۴۰۹۶ کاراکتر یونیکد باشد

آسیب پذیری کشف شده، در قسمتی از نرم افزار واقع شده است که وظیفه ی کنترل طول پیغام های ارسالی (متنی) را دارد. در واقع در اثر وجود یک خطای برنامه نویسی در کد برنامه، شخص می تواند پیغام متنی با طول دلخواه ارسال نماید."

این دو هکر مدعی شده اند که در کانال تلگرامی خود دو  پیغام یکی با طول ۰ کاراکتر (بایت) و یکی با طول ۳۰ هزار کاراکتر (بسیار بزرگتر از محدودیت ۴۰۹۶ بایت) ارسال کرده اند.

عکس زیر در سایت تلگرام قرار گرفته است و محدودیت 4096 بیتی را تایید می کند.

کشف ضعف امنیتی تلگرام توسط دو هکر ایرانی



فیلم منتشر شده توسط این دوهکر را مشاهده کنید.




این فیلم را میتوانید از اینجا دانلود کنید


شاید به ظاهر این مشکل امنیتی موضوع خاصی نباشد. اما این دو هکر در مورد چرایی خطرناک بودن این آسیب پذیری امنیتی میگویند:

"با توجه به اینکه هر کاراکتر لاتین یک بایت از حافظه را اشغال می کند، می توان اقدام به ارسال چندین میلیون (یا میلیارد) کاراکتر بی معنی (مثلا a) در قالب یک پیغام متنی به یک کاربر کرد.

در جریان آزمایشات، دو واکنش از دستگاه های مقصد (مثلا تلفن همراه گیرنده پیغام) قابل رویت بود:

۱-پهنای باند اینترنت کاربر مقصد بر حسب طول پیغام ارسالی تقلیل رفته و پایان می پذیرد.

۲-دستگاه مقصد با کمبود حافظه روبرو شده و Crash می کند.

با توجه به آنچه گفته شد، ممکن است شما یک روز صبح به دلیل اینکه تلفن همراهتان Crash کرده (و در نتیجه زنگ هشدار دهنده به درستی کار نکرده است) دیرتر از سایر روز ها از خواب برخیزید و متوجه شوید‌ که دستگاهتان مقدار زیادی پهنای باند در قالب پیام های متنی که از طرف یک شخص ناشناس ارسال شده، مصرف نموده است. از آن بدتر با توجه به اینکه طبق اصول تلِگرام لازم نیست فرستنده ی پیام حتما یکی از مخاطبان شما باشد، هیچگاه نخواهید توانست مسبب اصلی را پیدا کنید (چرا که وی می تواند برای ارسال از یک شماره ی فرعی استفاده نماید).

هدف از گزارش این آسیب پذیری، مطلع کردن کاربران از خسارات احتمالی (بعضا مالی) نرم افزار هایی است که به سادگی به آن ها اعتماد می کنیم. گفتنی است نرم افزار مذکور برای اثبات نفوذ ناپذیر بودن دو مرتبه اقدام به برگزاری مسابقاتی با جوایز ۲۰۰ و ۳۰۰ هزار دلار کرده که هردو بدون برنده پایان پذیرفته اند."

این ادعا در وب سایت معتبر IT Security News نیز منتشر شده است، این دو هکر می گویند هنوز راهی برای  ارتباط و ارسال این مشکل برای تلگرام نیافتند.

لازم به ذکر است هکر های کلاه سفید به هکر هایی میگویند که ضعف های امنیتی را کشف و برای بهبود به توسعه دهندگان نرم افزار ها اطلاع می دهند.

انتهای پیام/

اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
نظرات کاربران
انتشار یافته: ۲۱
در انتظار بررسی: ۰
Germany
Ins
۲۱:۰۹ ۱۵ تير ۱۳۹۷
اولا متاسفم برای سادگی بعضی ها چون هر کسی حتی یک باگ کوچک تلگرام رو بگه جاییزه می گیره
دوما لطفا تلگرام را از فیلتری در بیارید یا یک شبکه بسازید که هیچ کسی نتونه چت های من را بخونه
سوما همین سایت باگ سرعتی داره و روی اندروید سرعتش کم میشه
خلاصه تلگرام هک نمیشه و تنها روش هک شدن تلگرام اینه که طرف یا خودش کد تلگرامش رو به کسی بده یا یک ویروس توی دستگاه خود نصب کنه یا اوپراطور را هک کنه چون تلگرام هیچ وقت قابل هک شدن نیست
Iran (Islamic Republic of)
noname
۲۳:۰۰ ۱۹ خرداد ۱۳۹۷
این کارشون جالب بود ولی هک نبود .

بیشتراز حرف زدنشون خوشم اومد دوتایی باهم حرف میزدن باحال بوداحتمالا دعواشون شده بود که کی حرف بزنه به توافق نرسیدن دوتایی باهم حرف زدن.
Iran (Islamic Republic of)
سعید
۱۴:۳۰ ۱۶ فروردين ۱۳۹۷
ویژگی مهم تلگرام اینکه از رمز گذاری انتها به انتها استفاده می کنه و این باعث میشه که به هیچ عنوان اطلاعات قابل استفاده توسط شخص یا سازمانی نباشه، به همنی دلیل هم هست که تلگرام اساسا از داده کاوی برای کسب درامد استفاده نمیکنه ، برخلا تمام پیام رسان ها داخلی که تمام پیام ها قابل شنود هستند یعنی قابل دیدن توسط فرد سوم که میتونه یک سازمان نظارتی باشه
Iran (Islamic Republic of)
ناشناس
۱۸:۱۳ ۰۹ تير ۱۳۹۵
سلام
دوستان
این موضوع اصلا هک نیست. و این دو دوست جوان ما کلا قضیه رو اشتباه فهمیدن. تلگرام در قوانینش میگه هر پیغام متنی نمیتونه بیشتر از 4096 کاراکتر داشته باشه. خب این منطقیه. و همین اتفاق هم میوفته. حالا اگه شما پیغامی با طول بیش از 4096 ارسال کنید. مثلا 6000 کاراکتر، اون پیام رو به دو پیام تقسیم میکنه پیام اول 4096 و پیام دوم 1004 کاراکتر داره. این نه حفره امنیتی هست و نه هک.
Iran (Islamic Republic of)
ناشناس
۰۰:۰۵ ۲۸ خرداد ۱۳۹۵
پیشنهاد میکنم اینها به کمک تیم بیسفون بروند و کمک کنند این پیامرسان جایگزین تلگرام شوند
Iran (Islamic Republic of)
ناشناس
۱۹:۵۸ ۲۷ خرداد ۱۳۹۵
گوشی من دو سه روز پیش اینجوری شد...ینیcrashکرد...همون روز من سه تا بسته20مگا بایتی گرفتم هیچی هم دان نکردم..شاید چند تا عکس...احتمالا برا این باشه.
Iran (Islamic Republic of)
ناشناس
۱۹:۳۹ ۲۷ خرداد ۱۳۹۵
ممنون از این عزیزان وطن - راه حل مقابلش برای کاربران شخصی چیه؟
Iran (Islamic Republic of)
ناشناس
۱۵:۴۱ ۲۷ خرداد ۱۳۹۵
هنرنزد ایرانیان است و بس
Iran (Islamic Republic of)
ناشناس
۱۵:۲۴ ۲۷ خرداد ۱۳۹۵
كاش كلاه سياه بودند! كلا هك مي كردند و تعطيل خيالمون راحت مي شد
Iran (Islamic Republic of)
ناشناس
۱۴:۴۲ ۲۷ خرداد ۱۳۹۵
تلگرام اونقدر به خودش مطمن بود که سازندش گفته بود هرکی بتونه هکش کنه جایزه ویژه ای دریافت میکنه‌‌‌..
بااین حساب این دو ایرانی باید مشمول این جایزه بشن
Iran (Islamic Republic of)
ناشناس
۱۴:۴۲ ۲۷ خرداد ۱۳۹۵
تلگرام اونقدر به خودش مطمن بود که سازندش گفته بود هرکی بتونه هکش کنه جایزه ویژه ای دریافت میکنه‌‌‌..
بااین حساب این دو ایرانی باید مشمول این جایزه بشن
Iran (Islamic Republic of)
ناشناس
۱۴:۴۲ ۲۷ خرداد ۱۳۹۵
تلگرام اونقدر به خودش مطمن بود که سازندش گفته بود هرکی بتونه هکش کنه جایزه ویژه ای دریافت میکنه‌‌‌..
بااین حساب این دو ایرانی باید مشمول این جایزه بشن
Iran (Islamic Republic of)
ناشناس
۱۴:۴۲ ۲۷ خرداد ۱۳۹۵
تلگرام اونقدر به خودش مطمن بود که سازندش گفته بود هرکی بتونه هکش کنه جایزه ویژه ای دریافت میکنه‌‌‌..
بااین حساب این دو ایرانی باید مشمول این جایزه بشن
Iran (Islamic Republic of)
ناشناس
۱۴:۴۲ ۲۷ خرداد ۱۳۹۵
تلگرام اونقدر به خودش مطمن بود که سازندش گفته بود هرکی بتونه هکش کنه جایزه ویژه ای دریافت میکنه‌‌‌..
بااین حساب این دو ایرانی باید مشمول این جایزه بشن
Iran (Islamic Republic of)
ناشناس
۱۴:۳۲ ۲۷ خرداد ۱۳۹۵
باگ خوبی بود .

واقعا به راحتی میتونه از حجم ترافیک اینترنت کاربر کم کنه .

کاربرای عزیز تلگرام حواسشون باشه ;)
Germany
ناشناس
۱۴:۳۲ ۲۷ خرداد ۱۳۹۵
این که هک نیست!!
Iran (Islamic Republic of)
ناشناس
۱۴:۲۰ ۲۷ خرداد ۱۳۹۵
كاش اين دوستان كلاه سفيد با حمايت هاي مالي مكفي به مشكلات امنيتي سايت هاي هك شده توسط سعودي ها پايان دهند.
Iran (Islamic Republic of)
ناشناس
۱۴:۲۰ ۲۷ خرداد ۱۳۹۵
كاش اين دوستان كلاه سفيد با حمايت هاي مالي مكفي به مشكلات امنيتي سايت هاي هك شده توسط سعودي ها پايان دهند.
Iran (Islamic Republic of)
ناشناس
۱۴:۰۷ ۲۷ خرداد ۱۳۹۵
شبکه اجتماعی=سلاح روانی غرب
Iran (Islamic Republic of)
پرند
۱۹:۴۳ ۲۷ خرداد ۱۳۹۵
صد درصد هیچ ابزاری رایگان در اختیار ما قرار نمی گیره!
مسلما غرب به فکر منفعت خودشه و در ابعاد گسترده ای از اون استفاده می کنه مثل جاسوسی از اطلاعات کاربران و شناخت بهتر افراد ، انتشار پیام های فرهنگی و دلخواه و هدایت جریان های فکری ... هر چند که میشه فعالیت های مثبت هم در اون داشت- متاسفانههه متاسفانه ابزار ایرانی و ملی ما هم در این عرصه خیلی عقب هستند و یا حمایت نمیشن -
Iran (Islamic Republic of)
ناشناس
۱۳:۵۲ ۲۷ خرداد ۱۳۹۵
خب که چی دقیقا چی شد؟
آخرین اخبار