انتشار شده در تاریخ 1399/11/26 - 13:45

شناسایی آسیب‌پذیری در پیام‌رسان تلگرام

محققان امنیتی برخی از آسیب‌پذیری‌های پیام‌رسان تلگرام را شناسایی کردند.

به گزارش کارگروه شبکه‌های اجتماعی سایبربان؛ یک محقق امنیتی به نام «Dhiraj Mishra» اعلام کرد یک آسیب‌پذیری در نسخه 7.3 مک‌اواس تلگرام شناسایی کرده که حریم خصوصی کاربران را نقض می‌کند.

به گفته وی، یک مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند به پیام‌های صوتی تصویری حتی مدت‌ها پس از حذف آن‌ها از سکرت چت دسترسی داشته باشد.

برخلاف سیگنال یا واتساپ، چت‌های تلگرام به‌طور پیش‌فرض رمزگذاری نشده‌اند، به‌استثنای مواردی که در آن کاربران از سکرت چت استفاده می‌کنند که داده‌ها را به‌صورت رمزگذاری شده حتی در سرورهای تلگرام ذخیره می‌کند. در چت‌های مخفی امکان ارسال پیام‌های خود پاک شونده نیز وجود دارد.

به گفته این محقق، زمانی که کاربر پیام‌های صوتی یا تصویری از طریق یک چت معمولی ارسال می‌کند، پیام‌رسان مسیری دقیق نشان می‌دهد که در آن پیام ضبط‌شده در قالب.mp4 ذخیره می‌شود. وقتی گزینه مخفی چت فعال باشد، اطلاعات مسیر منتقل نمی‌شوند، اما پیام ضبط‌شده همچنان در همان مکان ذخیره می‌شود.

حتی در مواردی که کاربر در چت مخفی یک پیام خود پاک شونده دریافت می‌کند، پیام چندرسانه‌ای پس از پاک شدن از صفحه چت در سیستم همچنان در دسترس باقی می‌ماند.

به گفته جیرارج میشرا، تلگرام اعلام کرده است چت‌های فوق مخفی هیچ ردی از خود برجای نمی‌گذارند، اما آن‌ها یک کپی محلی از این پیام‌ها را در یک مسیر مشخص ذخیره می‌کنند.

این کارشناس آسیب‌پذیری دیگری را در نسخه مک تلگرام شناسایی کرده که از طریق آن پسوردهای محلی به شکل متن آشکار در فایل JSON پوشه / Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata./ ذخیره می‌شده‌اند.

این آسیب‌پذیری‌ها در نسخه 7.4 پیام‌رسان برطرف شده‌اند.