آیا با تکرار کدی که یکی براتون تو تلگرام فرستاده ممکنه «هک» بشین؟ جواب فایل صوتی

امروز در همه گروه‌های مرتبط و غیر مرتبط یک خانومی داره توضیح می ده که:

یک هکر هست که یک کد براتون می فرسته که اگر اون کد رو برای خودش بفرستین هک می شین.

مستقل از تعریف هک و غیره، مساله اینه که تمام سیستم‌های مبتنی بر تایید دو مرحله ای اس ام اسی یا مشابه، وابسته به کدی هستن که برای شما اسمس یا مسیج می شه. فرض کنین یک گوشی جدید خریدین، تلگرام چجوری می فهمه این گوشی مال شماست؟ شما روی گوشی جدید تلگرام نصب می کنین و به تلگرام می گین که همون نفری هستین که فلان شماره تلفن رو هم (روی گوشی قدیمی) داره. تلگرام برای اطمینان از این ادعا، برای شما یک اسمس یا پیام به گوشی قدیمی می فرسته که حاوی یک عدد است. وارد کردن اون عدد در گوشی جدید تلگرام رو مطمئن می کنه که شما صاحب گوشی قدیمی هستین و اکانت رو روی هر دو گوشی فعال می کنه.

حالا «هکر» قصه ما چیکار می کنه؟ تو چت به شما می گه هکر بزرگ است و الان براتون یک کد می فرسته که اگر اونو برای خودش بفرستین هک می شین. حواس شما از اینکه اصلا کی پیام رو فرستاده پرت این ماجرا می شه که «واقعا هر چی بفرسته رو براش بفرستم هک می شم؟» و اصلا متوجه نیستین پیام واقعا از کجا اومده. لحظاتی بعد هکر روی گوشی مخصوص هک تلگرام نصب کرده و مدعی شده که شخص شخیص شما است و شماره شما رو هم به عنوان شماره خودش به تلگرام داده. تلگرام برای اطمینان از این موضوع، یک مسیح به گوشی قدیمی شما می فرسته و شما اشتباهی فکر می کنین اون پیام از طرف هکر یا دوستتون یا هر چی اومده. اگر همین شماره رو به اون بفرستین اون این شماره رو وارد برنامه می کنه و تلگرام مطمئن می شه که این گوشی دوم شماست و … اکانت شما روی گوشی اون دوستمون فعال می شه. ساده است نه؟

مطمئن هستم شما متوجه شدین ماجرای اینکه «اگر همون کدی که برام می فرسته رو براش بفرستم هک می شم» چیه. این روش برای هر سیستم مبتنی بر تشخیص هویت گوشی جدید بر اساس اسمس و پیام به گوشی قبلی هم کار می کنه. در واقع کسی که اسمس یا مسیج شما رو داره، فرقی با خود شما برای تلگرام یا گوگل یا هر کس دیگه نداره.

اما خب.. شاید برای توضیح این مساله به صدها هزار نفری که الان تو تلگرام هستن به این شکل کمی مشکل باشه. در ضمن توضیح اصلی رو یک خانم داده و این رو یک آقا و منطقا هیجانشون با هم فرق می کنه. پس اگر می خوان برای کسی مساله رو توضیح بدین یا فوروارد کنین تو گروه تلگرامی یا هر چی، متن زیر مناسب تره:

هموطن گرامی. اخیرا فایلی صوتی در تلگرام پخش شده که در آن خانمی مدعی می شود اگر کسی کدی برای شما بفرستد و شما آن کد را دوباره برای خودش بفرستید، شما را هک می کند. این ادعا تا حدی درست و تا حدی اشتباه است. پروفسور لطفی زاده متخصص دفاع سایبری در دانشگاه ماساچوست در این باره توضیحی داده که لازم است همه بدانیم و رعایت کنیم: تلگرام برای تشخیص هویت شما از روشی استفاده می کند به نام «ارسال کد عددی». در این روش تلگرام برای شما کدی ارسال می کند که اگر این کد را به تلگرام بگویید مطمئن می شود با شخص شما طرف است و اجازه ورود به اکانتتان را به کسی که کد را وارد کرده، می دهد. هکرها با استفاده از یک لحظه غفلت شما یا فریب شما به روش های مختلف مدعی می شوند که در حال ارسال کدی به شما هستند در حالی که این کد در اصل با درخواست هکر از طرف خود تلگرام به شما ارسال شده – تکرار می کنم خود تلگرام این کد را فرستاده! اگر این کد را برای آن ها بخوانید یا بفرستید آن ها می توانند آن را به تلگرام بگویند و تلگرام اجازه ورود به اکانت شما را به هکر خواهد داد. خواهش می کنم هر کاری که می کنید، هر کدی که در هر برنامه ای دیده شده را به هیچ وجه به هیچ کسی نگویید تا جلوی هک شدن خود را بگیرید. این بسیار مهم است. لطفا در همه گروه‌ها کپی کنید تا اشخاص بی اخلاق به مقاصد خودشان نرسند. ما باید از یکدیگر دفاع کنیم و به همدیگر آگاهی بدهیم. نیاز به ذکر منبع نیست، فقط کاری کنید که هموطن ها فریب افراد سود جو را نخورند.

(:

  • سوشیانت زوارزاده

    این تلگرام و هک شدنش هم یه داستان مسخره شده کاش مردم جای تلگرام واتس اپ می‌اومدن

    • nasserghiasi

      امنیت تلگرام فعلا بالاتر از واتس آپ هست

      • ناشناس

        تلگرام برای امنیت یک پروتکل (MTProto) از خود ساخته بنابراین امن نیست :)
        https://security.stackexchange.com/questions/49782/is-telegram-secure

        • nasserghiasi

          یعنی چی؟ مثلا پروتکل های رمزنگاری بقیه نرم افزارهارو خدا نازل کرده؟

        • به لحاظ ریاضی که امن هست!
          به لحاظ عملیاتی کمی مناقشه هست سرش که خب بحث جایزه تلگرام هم همینه

  • abnormal

    البته این خانومه میگفت کد یک رقمی بوده :| و اینکه از طرف خود این فرد اومده اما تلگرام با اکانت رسمیش کد و میفرسته.چجوری ممکنه یه آدم نتونه این دو رو متمایز بشه آخه؟؟! من احساس میکنم هنوز این دوستانی که مورد نفوذ قرار گرفتند نمیدونن چه اتفاقی افتاده و چیکار کردن که هک شدند.

    • nasserghiasi

      دقیقا. جادی چرا این پست رو فرستاده؟ منطق این نوع هک کاملا زیر سوال رفته

  • بهزاد

    فایل صوتی رو میشه بزارین؟
    درضمن من نفهمیدم هکر چطوری کاربر رو وادار میکنه کد تلگرام رو بفرسته بهش.
    یه چیز حاشیه ای در مورد همین: یه فیلم هست که طرف اسمس رو وسط راه میخونه و کد رو وارد تلگرام خودش میکنه. خیلی راحتتره.

  • Mohamad Shahdloo

    پروفسور سمیعی اگه میگفت مطمئن‌تر بود

    • حامد

      +1
      ملت پروفسور زده!

  • پروفسور لطفی‌زاده :))))))))
    باید یه تعداد اموجی و اینا هم بهش اضافه می‌کردی

  • ترومبوز

    دیجی قالپاق :)))

  • سوالی که مطرح هست آیا واقعا پروفسور لطفی زاده متخصص دفاع سایبری در دانشگاه ماساچوست نشسته و در مورد جلوگیری از هک نشدن در مورد تلگرام توضیح داده ؟؟!!!!!!

    به قول دوستمون پرفسور سمیعی میگفت مطمئن‌تر بود :))))))))))

    • سلام پیام
      پرفسور لطفی‌زاده (معروف به زاده) همون طوری که بقیه هم گفتن پدر منطق فازیه
      ولی چرا جادی زاده رو انتخاب کرده؟؟ فقط خودش می‌دونه و خدا! :دی

      حالا جادی بیا بگو چرا گیر دادی به این بنده خدا «زاده»؟

  • Mehran

    چندتا مورد واسه این فایل صوتی جالبه-البته از نظر من-
    ۱- وقتی شروع به صحبت می کنه انگار یه مجری حرفه ای و چاپلوس هست و خیلی مسلط و بدون هیچ تپقی در طول ۵:۲۲ دقیقه! یعنی گوینده خوبی هانتخاب شده.
    ۲- تاکید می کنه کدی هست که خود تلگرام نفرستاده که همه اون رو بلدن!

    ۳- میگه اکانت رو حذف کرد و با یک اکانت جدید اومد- با همون یوزر- کلا اگر کسی هم حذف کنه Last seen a long time ago میشه نه اینکه اکانت حذف بشه و دوباره بیاد!
    ۴- فک کردن تو سفر هستن و واسه خرید نیاز به کد دوم دارن- یعنی تو سفر می خواد بره با کد دوم سوغاتی بخره!!
    ۵- اگر با همون اکانت خودش و با کد تلگرام از یه جای دیگه هم لاگین کرده باشه تمام چت هایی با بقیه می کنه برای ۲ طرف میره و عرض می کنن که بعد از ۷-۸ ساعت متوجه شدن! یعنی ۷-۸ ساعت تو حسابشون با کلی آدم چت شده و کلی دیتا اضافه شده و … ولی ایشون نفهمیدن- نصف شب هم نبوده چون همه بیدار بودن و جواب دادن-
    ۶- پلیس فتا هم دیده و کلی ذوق کرده و گفته ایول تا حالا این مدلی رو ندیدیم و از ذوق کردنش یادش رفته خبر به این مهمی رو حداقل واسه ترسوندن مردم از این شبکه های خبیثُ تو سایتش کار کنه- تا الان که چیزی من ندیدم-
    ۷ – نمی دونم بقیه همون فایلی رو دیدن که یوزرش به نام Sh.f هست یا نه. اگر اینطور باشه یه احتمال هم میشه به این اضافه کرد که خواستن آمار سایت و فروشگاه رو بده بالا باشن- بله سایتی که تو عکس پروفایل موجوده- شایدم فقط استفاده کننده باشه. آمار افزایش بازدید این سایت رو میشه چند روز دیگه بررسی کرد

    اگر این مورد آخر درست باشه دمشون گرم که حتی جادی رو هم وادار به نوشتن کردن و من بودم در اون فروشگاه رو تخته می کردم اگر و اگر و اگر

  • مداپل

    پخش می نماییم :)

    https://telegram.me/med_apple/787

  • Mahdi Aryayi

    پرفسور لطفی‌زاده پدر منطق فازیه و الان باید حدود ۱۰۰ سالش باشه! فکر نکنم حال و حوصله این کارها رو داشته باشه :))

  • تو گروه های کرمونی پروفسور «جاوید» لطفی زاده داره در زمینه دفاع سایبری به مردم کمک میکنه :D

  • من موندم این خبر رو جادی چرا گذاشته تو بلاگش!

  • مصطفی

    شاید فکرشو هم نمیکردم که یه روزی باید در مورد این موضوع هم به این مفصلی توضیح داد.
    نمیدونم چی باعث میشه که تو مردم ما انقدر علاقه به دروغ زیاد باشه. به نظرم بیشترین هزینه اش رو امثال ما میدیم که قراره از این فضای تکنولوژی نون درست در بیاریم…

  • Sina Deuxshiri

    خیلی مسخره شده. دیگه حالم از هرچی اپ پیام رسان و شبکه اجتماعی به هم می‌خوره. مردم ایران جنبه‌ی استفاده از هیچیو ندارن. چپ و راست هم برام پیام میاد که از اگه به همسر یا دوست دختر خودتون شک دارید به ما سر بزنید. بخدا گاهی اوقات میگم دولت کاره درستی می‌کنه این اپ‌ها رو فیلتر می‌کنه. نباشه دیگه خبری از این مسخره بازی ایرانی ها هم نیست. دیگه تلگرام از نون شبشون هم مهم‌تر شده.

  • koosha

    جو بسیار خنده داری حاکم هستش .
    اینجور مواقع آدم میفهمه چقدر انسان های بیکار میتونند وجود داشته باشند که کا وقتشون رو بگذارند سر موضوعاتی مثل این .
    نمیدونم حتی ما چرا داریم در مورد این قضیه صحبت میکنیم و راستی جادی برای چی شما این مطلب رو داخل وبلاگتون گذاشتید اصلا ؟‌

    پ .ن : جدا یک پروفسور باید در مورد موضوعی به این پیش و پا افتاده ای حرف بزنه ؟
    این قسمتش به نظرم احمقانه ترین بخش بود .

  • koosha

    والا تلگرام رو کشور های دیگه هم دارند ولی اینجا دیگه شورش رو درآورند .
    مردم متاسفانه اصلا فرهنگ استفاده از این تکنولوژی ها رو ندارند .

  • nasserghiasi

    متاسفانه احراز هویت از طریق دریافت کد با پیامک یک فرآیند نا امن است و اخیرا روش هایی برای هک اکانت ها از طریق پیدا شده. امن ترین راه جلوگیری از هک استفاده از کلمه عبور در تلگرام می باشد.

    • اخیراً نیست دوست گرامی!
      مال سال‌های ۲۰۱۱ و ۲۰۱۲ هست که یه عدّه محقّق اومدن و ناامن بودن پروتکل SS7 رو نشون دادن.
      برای استفاده از این امکان هم باید تجهیزات خاص مخابراتی داشته باشید!

  • لطفی زاده

    آره بچه های گوگولی توی خونه، این کد رو نفرستید که هک نشید. الانم خستم می رم پیش کوروش بخوابم سمیعی و نیچه رو بیدار کنم شیفتشونه.

  • hadi khani

    مرسی جادی

  • خودم

    با سلام خدمت جادی عزیز. اولین چیزی که به نظرم میاد اینه که به ازای هر ورود به هر اکانت تلگرامی یک id یا در واقع session id وجود داره بنابراین احتمال داره که تلگرام بتونه روشی رو پیاده سازی کنه که لحظه ورود به session دوم روی اکانتی خاص به session اول همون اکانت یه پیام پذیرش فعالسازی session دوم فرستاده بشه. (یعنی یه جورایی احراز هویت بعدی) که در صورت تاپید توسط session اول session دوم فعال بشه

  • Sadeq

    به فرض هم اگر هک شده باشه وقتی داره هکر پیام به دوستاش می فرسته ، خب اون پیام ها برای شخص هک شده نیز سینک میشه و می فهمه مگه نه؟!

  • علی

    کاش این فایل رو میزاشتید تا ما هم گوش کنیم :|