هک تلگرام چیز جدیدی نیست، نگران نباشین

telegran-hack

از دیروز که رویترز خبری با عنوان دسترسی هکرها به اکانت‌های تلگرام داخل ایران منتشر کرده و به عبارت «مشخص شدن شماره تلفن ۱۵ میلیون ایرانی» اشاره کرده، کلی جا هیجان زده هستن و خبرهایی با عنوان «هک پونزده میلیون اکانت تلگرام» می‌زنن اما در واقع اتفاق خاص یا جدیدی در جریان نیست.

خبر رویترز به دو مساله اشاره می‌کنه:

  1. اکانت چند نفر خاص «هک» شده. احتمالا با تکنیکی که اصولا در کشورهایی مثل ما برای حکومت کاملا راحت و شدنی است. فرض کنین شما یک گوشی جدید خریدین و می‌خواین تلگرام رو روش فعال کنین. در این حالت درخواست می دین به تلگرام و یک اسمس برای شما می‌یاد که یک کد توشه که اگر اونو وارد کنین، تلگرام جدید فعال می شه و کپی همه مسیج های شما می ره توش. حالا فرض کنین من به شرکت مخابرات بگم اگر فلان اسمس برای فلانی اومد اسمس رو بهش نرسون و متنش رو بده به من (: به همین سادگی می تونم یک تلگرام که نصب کردم رو متصل کنم به اکانت شما. این مساله در مورد هر روش لاگین مبتنی بر اسمس صادقه و عجیب هم نیست. در واقع اون‌هایی که اینها رو درست می کنن ایده شون اینه که کسانی که دنبال سرقت هویت افراد هستن، به کل سیستم اینترنت و سیستم مخابراتی و اسمس‌های مردم دسترسی ندارن.
  2. در قسمت دیگه مقاله اشاره شده که شماره تلفن و آی دی حدود ۱۵ میلیون ایرانی کشف شده. روشش بازم ساده است: یک شماره تلفن اتفاقی به کانتکت های خودتون اضافه کنین و بعد نگاه کنین تو لیست دوستان شما در تلگرام اسم و عکس اون آدم چیه و چه شکلیه. حالا فرض کنین یک کامپیوتر همینجوری پشت هم شماره تلفن اضافه کنه و چک کنه که آیا در کانتکت‌های تلگرام تغییری حاصل شده یا نه یا یک مرحله کارش رو راحتتر کنه و بررسی کنه که فلان شماره آیا در تلگرام اکانتی برمی‌گردونه یا نه و از این طریق فهرست تلفن (و در نتیجه اسم آدم) و اکانت‌های تلگرام رو به دست بیارن.

به همین سادگی و سر راستی. بخش بسیار عظیمی از اینترنت و پروتکل‌هاش با این فرض طراحی شدن که گردانندگان اینترنت آدم های صادقی هستن. این هک تلگرام درست مثل وضعیتی است که کشوری اعلام کنه تنها یک مرجع دولتی برای خرید قفل وجود داره و بعد خبر ببینین که «نفوذکنندگان تونستن وارد خونه فلانی بشن» (:

درسته که این خبرهای «هک» هیچ ربطی به پروتکل امنیت تلگرام نداره و چت‌های امن و غیره در این مورد افشا نشده ولی در کل برای افرادی مثل ما بهتره ایده شون این باشه که اگر توی یک کشور فقط اجازه دارین از دولت قفل بخرین، بهتره اصولا در این مورد که خونه تون امن است و قفلتون محکمه و اینها اصولا اعتقادی نداشته باشین و راحت زندگی کنین با این ایده که هر کس هر وقت خواست تو خونه سرک می کشه دیگه. البته در حالتی که نخواین کلا در خونه رو جوش بدین و راحت بشین (:

مرتبط
قفل ها و اعتماد

  • optic

    شاید میخواسته بگه هکر واقعی دولت ایرانه روش نشده =)

  • Mahdi Aryayi

    به نظرم خوب بود یه اشاره‌ای هم می‌کردی که خوبه همه کاربران تلگرام ورود دو مرحله‌ای تلگرام رو فعال کنند که عزیزانی که به پیامکهای ملت دسترسی دارند نتونند دیگه مثل آب خوردن به تلگرام دسترسی پیدا کنند

  • azad

    p { margin-bottom: 0.1in; line-height: 120%; }a:link { }

    روند ایجاد حساب
    کاربری در سرویس های پیام رسان از جمله
    تلگرام :

    0- درخواست عضویت
    بواسطه یک شماره تلفن همراه در یک اپراتور
    تلفن همراه (از
    طریق نرم‌افزار مربوطه) .

    1- فرستادن یک کد
    (چند
    کاراکتری) توسط
    کارگزار پیام رسان به درخواست کننده از
    طریق پیامک .

    2-1 – وارد کردن کد
    دریافتی در نرم‌افزار پیام رسان و آغاز
    عضویت. این
    کد برای مدت زمان مشخصی معتبر است مثلاً
    تا 5 دقیقه
    , پس از آن
    دیگر اعتبار ندارد.

    2-2 – تا این مرحله
    برای کاربرانی که از یک شماره تلفن همراه
    برای اولین بار عضو می‌شوند , سپس
    داریم :

    2-3 – اگر کاربر مایل
    باشد می‌تواند سرویس تأیید دو مرحله‌ای
    را فعال کند. بدین
    شکل که گذرواژه ای تعیین شده تا پس از آن
    هرگاه به هر شیوه ای (سخت
    افزاری=گوشی
    همراه – تبلت
    – رایانه ,
    نرم افزاری=
    نسخه مبتنی بر
    موبایل – دسکتاپ
    – وب )
    خواست تا از پیام
    رسان استفاده کند علاوه بر کد پیامکی
    ارسالی از سوی کارگزار پیام رسان باید
    گذرواژه مذکور را نیز وارد کند.
    البته یک آدرس ایمیل
    هم می‌تواند به عنوان پشتیبان برای
    بازیابی گذرواژه هنگام فراموشی از سوی
    کاربر تعیین شود .

    نکته 1 :
    منظور از هک تلگرام
    چیست؟ کارگزارهای تلگرام یا حساب کاربران
    تلگرام ؟

    نکته 2 : رد
    و بدل داده‌ها در این پیام رسان (و
    البته در پیام رسان های دیگر)
    رمزنگاری می شود.
    بحث بر سر اعتبار
    شیوه و الگوریتم رمزنگاری مورد استفاده
    , سخن جداگانه
    ایست.

    حال فرض کنیم کسی
    بخواهد حساب تلگرام شخصی را سرقت کند!
    با توجه به مراحل
    یادشده در بالا ; فرد
    سارق باید کد فعالسازی پیامکی ارسالی به
    شماره تلفن مورد نظر را بدست آورد.
    اگر هم سرویس تأیید
    دو مرحله‌ای فعال شده باشد داشتن این
    مورد هم الزامی ست.

    نکته 3 : از
    دستیابی فیزیکی به دستگاهی که حساب روی
    آن فعال بوده یا روش‌های مهندسی اجتماعی
    برای سرقت حساب چشم‌پوشی شده است.

    با مفروضات بالا ,
    سارق چگونه و از چه
    راهی می‌تواند کد فعالسازی را بدست آورد؟

    پاسخ روشن است :
    باید در سیستم
    مخابراتی اپراتور تلفن همراه مورد نظر
    نفوذ کند! در‌
    واقع توانایی شنود پیامک های آن اپراتور
    را داشته باشد.

    پرسش : آیا
    امکان نفوذ و جاسوسی در سیستم‌های مخابراتی
    بصورت تئوری یا عملی وجود دارد؟

    پاسخ : بله
    , اما نه
    توسط هر فرد و هر گروهی! بعنوان
    نمونه پیمانکاران و نیروهای نظارتی قانونی
    مرتبط با این سیستم‌های مخابراتی ,
    اولین گزینه های
    مظنون برای انجام چنین کاری به شمار می
    روند. همچنین
    سوء‌ استفاده از باگ های شناخته و معرفی
    شده‌ای چون آسیب‌پذیری SS7 در
    تجهیزات زیرساخت ارتباطی تلفن محتمل
    است.

    نکته 4 : با
    فرض بدست آوردن کد فعالسازی پیامکی توسط
    سارق , اگر
    در حساب کاربر سرویس تأیید دو مرحله‌ای
    فعال شده باشد پس جناب سارق بایستی این
    گذرواژه را هم بدست آورد!

    این گذر واژه نه در
    دستگاه کاربر ذخیره و نه بصورت پیامکی رد
    و بدل می‌شود , بلکه
    روی کارگزارهای پیام رسان بصورت رمزنگاری
    شده نگهداری می شوند. حال
    سارق باید کارگزار را هک نموده و پس از
    استخراج اطلاعات هر حساب اقدام به رمزگشایی
    (شکستن
    الگوریتم رمزنگاری) گذرواژه
    آن کند. یا
    اینکه در قالب شرکت های سرویس دهنده
    اینترنت , ارتباطات
    رمزشده را شنود کرده و سپس اقدام به
    رمزگشایی کند.

    نکته 5 : تا
    بحال هیچ گزارش و ادعای معتبری مبنی بر
    شکستن الگوریتم رمزنگاری داده‌های تلگرام
    (و سرویس
    های پیام رسان دیگر) ارائه
    نشده است.

    نکته 6 :
    روشی ابتدایی بنام
    Brute Force در
    حدس زدن گذرواژه ها وجود دارد که گمان
    نمی‌رود برای شمار بسیاری حساب کاربری
    (در حد چند
    میلیون) کارساز
    باشد. ضمن
    اینکه یک اقدام تدافعی ابتدایی از سوی
    طراحان پیام رسان در برابر چنین حملاتی
    مسدود و یا محدود کردن حسابی ست که با این
    روش به آن حمله شده است می باشد.

    نکته آخر :
    اخبار مربوط به این
    ادعا بصورت گنگ و مبهمی منتشر شده و بنظرم
    فعلاً فقط می‌توان صرفاً آن را فقط و فقط
    یک ادعا دانست! چون
    به روشنی معلوم نشده آیا 15 میلیون
    حساب هک شده یا فقط توانستند بفهمند که
    چه شماره تلفن‌هایی از ایران در تلگرام
    عضویت دارند (این
    مورد چندان اهمیتی ندارد و هر کسی میتواند
    این کار را انجام دهد) و
    اینکه در خبر رویتر از 12 حساب
    یاد شده که قابل درک نیست!؟
    نام بردن از گروه هکری ایرانی بنام Rocket
    Kitten که در کد (یا
    در برنامه خودشان) از
    زبان فارسی استفاده کردند ; من
    متوجه نشدم کدام کد یا برنامه؟

    در این میان سایت‌های
    خبری هم اضافات من درآوردی و نامربوط و
    القایی را به اصل خبر افروده اند.
    به هر حال منتظر
    انتشار گزارش کامل و معتبر در روزهای
    آینده طبق گفته مدعیان خواهیم ماند.

    لینک خبر مربوط به
    ادعای هک 15 میلیون
    حساب ایرانیان در
    تلگرامhttp://www.reuters.com/article/us-iran-cyber-telegram-exclusive-idUSKCN10D1AM

    لینک پاسخ تیم
    تلگرام در رابطه با خبر بالا

    https://telegram.org/blog/15million-reuters

  • stackprogramer

    تحلیل هوشمندانه ای بود

  • بهترین راه برای امنیت تلگرام فعال کردن Two Factor Authentication و بررسی Sessionهای فعال به صورت دوره‌ای هستش. اگر این دو کار رو انجام بدیم تلگرام یکی از امن ترین بسترهای مخابراتیه. همونطور که مهدی هم گفت خیلی خوب بود اگر به اینها هم اشاره میکردی.

    ولی مثل همیشه عموم مردم این کار رو نمیکنن و طبق تحلیل درستی که کردی میشه گفت برای اکثریت مردم امنیتی وجود نداره یا خیلی ضعیفه.

  • Pingback: آیا ۱۵ میلیون حساب تلگرام ایرانی‌ها هک شده است؟ - ندای امروز()

  • جادی به قفل دومرحله‌ای تلگرام که اتفاقا بدرد همینکار دولت میخوره، اشاره‌ای نکردی

  • optic

    ابوالحسن فیروزآبادی
    ماهیت این اپلیکیشن (تلگرام) به دلیل متن باز بودن آن را به شدت در معرض خطر هک شدن
    قرار می دهد و “از آنجا که تلگرام بر مبنای وب ساخته شده، قابلیت خزش داشته
    و می تواند حریم خصوصی کاربران را به خطر بیندازد.

    من برم تو افق محو بشم :)

    • ali

      خخخخخخخخخخخخخخخ

  • DC

    خیلی جالبه تو وب پنهان بودم به باز نشر این مطلب برخوردم :
    http://wuez3xlf262whtl6.onion/blog/19
    البته سایتشون تو نت پاک و پاکیزه ام هست :)
    جادی یه پادکست یا مطلبی درباره وب پنهان بزار… اونطرف پیدا کردن مطالب مورد نظر خیلی سخته … اون نصفه بیشتر نت که میگن تو اون اعماقه کجاست پس XD
    ممنون از مطالب خوبت

  • mahdi

    دولت چرا ؟ با ss7 همه میتونن حساب همه رو داشته باشن D:

  • Ali EP

    سلام، تلگرام ی رشته هش برمیگردونه که برای فعال سازی sms نیازه، یعنی کد sms شده و اون هش باید زوجشون موجود باشن در ازای هم
    3s

    • Ali EP

      در ادامه، اما با آسیب پذیری ss7 که مربوطه به سیستم های مخابراتی و نه تلگرام، هکر شمارشو جای شماره قربانی جا میزنه و میتونه فعال سازی رو انجام بده، که در این صورت whatsapp و facebook و امثالهم هم قابل هک شدنند

      http://www.mobipicker.com/hack-whatsapp-facebook-telegram-using-ss7-flaw/

  • Pingback: Iranians See Arrests and Intimidation of Telegram Administrators and Journalists Ahead of the Elections - Global Voices Advocacy()