صفحه 1 از 1

نظر مدیر گروه آشیانه ایران در باره امنیت پسورد‌های کاربران تلگرام

ارسال شده: دوشنبه ژولای 13, 2015 10:23 am
توسط saman
نظر مدیر گروه آشیانه ایران در باره امنیت پسورد‌های کاربران تلگرام
مدیر گروه امنیتی آشیانه ایران گفت: کشف دو آسیب‌پذیری خطرناک در تلگرام (از جمله بدست‌آوردن پسورد کد شده کاربران) رسما به اطلاع‌ سازندگان نرم‌افزار رسانده شده و مطابق وظیفه هکرهای کلاه سفید، این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است.


به گزارش ایتنا از فارس، بهروز کمالیان اظهار داشت: اخیرا گروه امنیتی آشیانه ایران از کشف ۲ آسیب‌پذیری در نرم‌افزار پیام‌رسان تلگرام و ثبت آنها در سایت‌های امنیتی خبر داد.

مدیر گروه امنیتی آشیانه ایران افزود: بر این اساس نوعی از آسیب‌پذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد به صورت کد شده برای درخواست کننده ارسال می‌شود، در آسیب‌پذیری دوم که با باگ امنیتی CSRF اتفاق می‌افتد شخص آسیب‌رسان پیامی حاوی یک لینک مخرب برای قربانی ارسال می‌کند که با کلیک روی این پیام و باز شدن یک صفحه وب‌سایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین می‌رود.

البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد.

کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این ۲ آسیب‌پذیری اقدام به ثبت آنها در سایت‌های امنیتی کرده است تا علاوه بر اثبات وجود آسیب‌پذیری‌ها، زمینه سوءاستفاده از آنها فراهم نشود و سپس کشف آسیب‌پذیری‌ها اطلاع‌رسانی شد. در مجموع فرآیند کشف تا اطلاع‌رسانی حدود ۳ روز به طول کشید.

وی تاکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیب‌پذیری اول و مربوط به رمز عبور، پس از کشف آسیب‌پذیری طبق وظیفه هکرهای کلاه سفید، اقدام لازم برای ثبت و اطلاع‌رسانی به تلگرام برای برطرف کردن آسیب‌پذیری را آغاز کرده است و به طبع برای ورود به مراحل بعدی که رمزگشایی کلمات عبور رمزنگاری شده است تلاشی نکرده است.

مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمی‌کند و رمزنگاری مخصوص به خود را دارد، بعید به نظر می‌رسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفاده‌های شخصی قرار گرفته باشد.

http://itna.ir/vdccmxq1.2bqme8laa2.html