اپلیکیشن

تلفن همراه

رسانه‌های اجتماعی

July 19, 2021
14:06 دوشنبه، 28ام تیرماه 1400
کد خبر: 126595

محققان از کشف چند آسیب‌پذیری در سیستم رمزنگاری تلگرام خبر دادند

 
محققان «رویال هالووی، دانشگاه لندن» با بررسی دقیق پروتکل رمزنگاری پیام‌رسان تلگرام دریافته‌اند که این سیستم مشکلات متنوعی دارد که دامنه‌ای از خطاهای کوچک و ساده تا مسائل پیشرفته‌تر را در بر می‌گیرد.
 
پروفسور «مارتین البرکت»، رهبر این تحقیقات می‌گوید یافته‌های آن‌ها نشان می‌دهد که ریسک آنی این نقطه ضعف‌ها پایین است، اما نکته مهم این‌جاست که تلگرام برخلاف پروتکل‌های شناخته‌شده‌ای مثل TLS، تضمینی بابت سیستم رمزنگاری خود ارائه نمی‌کند.
 
تلگرام از سیستم رمزنگاری خاصی موسوم به MTProto استفاده می‌کند تا ارتباطات میان کاربر و سرورهای خود را ایمن کند. این پیام‌رسان برخلاف پیام‌رسان‌های مجهز به رمزنگاری دوطرفه، فقط سطح محدودی از ایمنی را برای ارتباطات کاربران فراهم می‌کند.
 
یک مهاجم با حمله به شبکه تلگرام می‌تواند ترتیب پیام‌ها را جابه‌جا کند. البته تلگرام تایید کرده که این مشکل را در نسخه‌های جدید برطرف کرده است. آسیب‌پذیری دیگری که در نسخه‌های اندروید، iOS و دسکتاپ تلگرام مشاهده شده به مهاجم اجازه می‌دهد محتوای رمزنگاری‌نشده را از پیام‌ها به دست آورد. برای انجام این کار باید پیام‌های خاصی، در مقیاس چند میلیون به سوژه فرستاده شود. اگرچه انجام چنین کاری در عمل تقریبا غیرممکن است، ولی آسیب‌پذیری سیستم تلگرام را رد نمی‌کند. این شرکت مدعی است که مشکل یاد شده را در ماه ژوئن برطرف کرده و به کاشف این باگ پاداش داده است.
 
محققان همچنین نشان داده‌اند که هکرها چگونه می‌توانند حمله «مهاجم میانی» را در فرآیند جابه‌جایی کلیدهای اولیه رمزنگاری بین کلاینت و سرور انجام دهند. مهاجم در این حمله خود را به جای سرور جا می‌زند. خوشبختانه انجام این حمله هم کار بسیار دشواری است، چون طی آن باید چند میلیارد پیام ظرف چند دقیقه به سرور تلگرام ارسال شود. این مشکل هم در آپدیت‌های جدید برطرف شده است.
 
محققان می‌گویند پروتکل‌هایی مثل MTProto از بلاک‌های سازنده‌ رمزنگاری نظیر توابع هش، سایفرهای بلاک و رمزنگاری کلید عمومی ساخته می‌شوند. در نتیجه، امنیت پروتکل به امنیت بلاک‌های سازنده تقلیل می‌یابد. افزون بر این، پژوهشگران فقط سه نسخه اندروید، iOS و دسکتاپ تلگرام را بررسی کرده‌اند و وضعیت ایمنی کلاینت‌های شخص ثالث یا تحت وب مشخص نیست.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.