جستجوی محصولات

[[iCartInfo.totalSubItem]] مورد

کالا تعداد قیمت حذف
[[item.name]][[item.name]] [[item.qty]] [[item.price|irCurrency]]
سبد خرید شما خالی میباشد
مبلغ قابل پرداخت [[iCartInfo.totalPrice|irCurrency]]
سفارش
مقایسه محصولات

آسیب‌پذیری در نرم‌افزار فوق‌ امنِ تلگرام

دوشنبه 26 بهمن 94 11:11 |   |  تعداد مشاهده: 460 |

دسته بندی:امنیت

|

[[rateUserCount]]



آسیب‌پذیری در نرم‌افزار فوق‌ امنِ تلگرام

در حالی شبکه‌ی اجتماعی تلگرام به محبوب‌ترین نرم‌افزار ارتباطی کاربران ایرانی تبدیل شده است که چندین آسیب‌پذیری خطرناک در آن وجود دارد.
این نرم‌افزار محبوب پیام‌رسان که توسط برنامه‌نویسان روسی ایجاد شده است، از دی ماه سال گذشته که روزانه بیش از ۱ میلیارد پیام در آن منتشر می‌شده است با شکستن رکوردها در حال حاضر روزانه ۱۰ میلیارد پیام را جابه‌جا می‌کند. با این حال محبوبیت این نرم‌افزار مشابه بسیاری دیگر از نرم‌افزار‌ها باعث می‌شود نگاه پژوهش‌گران امنیتی و البته نفوذگران به سمت آن باشد.

 

به‌تازگی محقق امنیتی به نام ادواردو آلوز چندین آسیب‌پذیری را در این نرم‌افزار و در نسخه‌ی تحت وب آن کشف کرده است که در ادامه آورده شده‌اند:
۱- آسیب‌پذیری انسداد سرویس در my.telegram.com؛ در این وب‌گاه رفتاری وجود دارد که یک کاربر پس از ۵ تلاش ناموفق در وارد کردن شماره تلفن، مسدود شود. اما به نظر می‌رسد این رفتار به درستی تعریف نشده است و امکان دور زدن آن و در نتیجه ارسال درخواست‌های بی‌شمار که منجر به حملات انسداد سرویس می‌شود، وجود دارد.
۲- دور زدن محدودیت ۵ دقیقه در وارد کردن توکن؛ زمانی که کاربر قصد ورود به حساب کاربری وب را دارد، باید یک توکن که به تلفن همراه وی ارسال شده است را در مدت زمان کم‌تر از ۵ دقیقه در وب‌گاه وارد نماید، اما در صورتی که از نسخه‌ی ترمینال تلگرام استفاده شود، این محدودیت زمانی وجود ندارد.
۳- انسداد سرویس در ارسال درخواست توکن؛ در صورتی که کاربر به اشتباه توکن‌هایی را وارد نماید، برای مدت زمان طولانی دیگر نمی‌تواند توکن جدید درخواست کرده و در نتیجه سرویس تلگرام برای وی مسدود می‌شود.
۴- مشکلات احراز هویت کاربران؛ سازوکارهای احراز هویت در web.telegram.org به نحو صحیحی ایجاد نشده است و مهاجم سایبری این امکان را دارد که از این آسیب‌پذیری سوء‌استفاده کرده و بدون احراز هویت توکن قربانی را به دست بگیرد.
۵- سرقت حساب کاربری تلگرام؛ در صورتی که مهاجم بتواند توکن قربانی را با آسیب‌پذیری شماره‌ی ۴ به دست آورد، با باز‌نشانی (ریسِت) حساب کاربری قربانی می‌تواند در نهایت کنترل کامل حساب تلگرام را به دست بگیرد.
تلگرام هنوز هیچ توصیه‌نامه‌ای در مورد این آسیب‌پذیری‌ها منتشر نکرده است. با این حال به کاربران توصیه می‌شود تا رفع این آسیب‌پذیری‌ها از نسخه‌های تحت وب این نرم‌افزار استفاده نکنند.

منتشر شده در فيسيت


نظرات کاربران

نظر خود را با ما در میان بگذارید


[[item.name]] [[item.created_at|pDate]]

[[answer.name]] [[answer.created_at|pDate]]

[[comment.name]] [[comment.created_at|pDate]]