ضعف امنیتی بزرگ تلگرام

امروزه اکثر دارندگان گوشی­‌های هوشمند از اپلیکیشن‌­های پیام‌رسانی مثل تلگرام یا وایبر استفاده می­‌کنند. این قبیل اپلیکیشن­‌ها هنگام نصب از کاربران خود می‌خواهند تا شماره‌ تلفن همراه‌شان را وارد کنند؛ سپس پیامکی برای کاربر ارسال می‌شود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر می‌خواهد که رمز ارسال‌شده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل می‌کند. تا زمانی که کاربران از سیم‌کارت­‌های فیزیکی (مشابه نمونه‌های رایج در ایران) استفاده ­کنند، مشکلی جدی پیش نمی‌آید.

امروزه در بسیاری کشورهای دنیا شماره­ تلفن­‌های برخط صرفا جهت ارسال و دریافت پیامک به‌وسیله‌ اینترنت ارایه می­‌شوند. اکثرا این شماره­‌ها به‌صورت اشتراکی هستند و معمولا برای چند ماه خریداری می­‌شوند و پس از سپری شدن مدت‌زمان خریداری‌شده، شماره‌ موردنظر غیرفعال شده و در صورت نیاز به فرد دیگری اجاره داده می­‌شود.

فرض کنید شخصی با شماره‌ی اشتراکی خود، اپلیکیشن پیام‌رسانی را ثبت کرده باشد و اشتراک خط خریداری‌شده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شماره‌ی خریداری‌شده‌ی خود ثبت کند؛ در این‌صورت به لیست مخاطبان و تمام پیام­‌های موجود در اپلیکیشن شخص اول دسترسی خواهد داشت.

این آسیب‌پذیری امنیتی که می­‌توان آن را به‌نوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است. شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان می‌­دهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیام­‌های تمامی کاربران قبلی قابل‌دسترس هستند.

طبق بررسی­‌های صورت گرفته، اکثر اپلیکیشن­‌های پیام‌رسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده می­‌کنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجه‌ی بررسی­‌های انجام‌شده روی معروف‌­ترین اپلیکیشن­‌های پیام‌رسانی را نشان می­‌دهد. این تصویر بیان می­‌کند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شده‌­اند.

اگرچه برخی از اپلیکیشن­‌های پیام‌رسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیله‌ی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشن­‌های فعال در دیگر دستگاه­‌ها ارسال می­‌کنند، ولی در این مدت‌زمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشن‌‌های فعال بر روی دستگاه‌­های دیگر را غیرفعال کنند. شاید بهتر است توسعه‌دهندگان اپلیکیشن­‌های پیام‌رسانی از احراز هویت مبتنی بر تماس به‌جای ارسال پیامک بهره بگیرند.