رصد فريق Semicolon المتخصص في أمن المعلومات ثغرة أمنية في تطبيق المراسلة Telegram للسماح للمهاجم باختراق الحسابات دون الحاجة إلى التواصل أو التفاعل مع الضحية.
لقد اكتشفنا هجومًا إلكترونيًا واسع النطاق يستهدف المستخدمين من تطبيقك، تم تصنيف تطبيق Telegram كواحد من أكثر تطبيقات المراسلة أمانًا في العالم.
في تفصيل الهجمات التي انتشرت في لبنان خلال الأيام القليلة الماضية ، قال الفريق إن الخلل الأمني يكمن في وظيفة لمرة واحدة لرموز التحقق المرسلة عندما يحاول المستخدمون الوصول إلى حساباتهم من أجهزة أو متصفحات جديدة.
يجب على المستخدم إدخال هذا الرمز للتحقق من ملكية الحساب ، ويمكن للمهاجم استغلال هذا الخلل للحصول على الرمز نيابة عن المستخدم ، والوصول إلى الحساب دون إذن المستخدم ، وإجراء محادثات حول المستخدم. أو ليكون قادرًا على العرض المعلومات أو المعرفة.
يحتوي Telegram على نوعين من رموز التحقق، النوع الأول يرسل عبر الرسائل القصيرة، يتم إرسال هذا عندما يكون المستخدم جديدًا في التطبيق ولم يقم مسبقًا بفتح حساب من أي جهاز أو متصفح.
النوع الثاني يتم إرساله عبر الرسائل داخل تطبيق Telegram نفسه، ما هو ملحوظ في الهجوم هو أنه إذا تم تنشيط الحساب (بعلامة تحديد زرقاء) (من حساب Telegram تم التحقق منه رسميًا) مسبقًا على جهاز أو متصفح آخر ، فإن الهجوم يكون من النوع الثاني، هذا هو ما تستهدفه.
فقد قاموا بمراقبة وتحليل الضحايا الذين تلقوا رمز تنشيط عبر رسالة من Telegram داخل التطبيق ، بدلاً من رسالة نصية قصيرة ، قبل ثوانٍ من إخطارهم بفتح حسابهم واستخدامه على جهاز جديد.
كيف يتم تنفيذ الهجمات؟
وفقًا للتحليل الفني ، استخدم المهاجمون قائمة تحتوي على أرقام هواتف مرتبطة بحساب Telegram تم تسريبه أو تم إنشاؤه بطريقة غير مشروعة ، والتي وفقًا للتقارير تم تسريبها من خدمة WhatsApp منذ عدة أشهر وتم استخدامها لـ 4 قد تكون مشابهة للقائمة التي أثرت على أكثر من 187 مليون مستخدم. شكلت 25 ٪ من قاعدة البيانات وبيعت بحوالي 7000 دولار أمريكي في منتدى ويب مظلم.
يستخدم المهاجمون القوائم لأتمتة الهجمات باستخدام التعليمات البرمجية الضارة لاستهداف أكبر عدد ممكن من الحسابات في فترة زمنية قصيرة (5 دقائق).
ما هي العيوب الأمنية ؟
في حين أن Telegram هو المسؤول الوحيد عن الكشف عن الأسباب الدقيقة للعيوب الأمنية ، فإن التقدير الأولي للفريق هو أن أمان خدمة Telegram واحدة تسمح للمتسللين بإنشاء عمليات تحقق لا حصر لها.من المتوقع أن يكون سبب الخلل رمز ، أو ما يُعرف باسم هجوم القوة الغاشمة.
لاحظ أن رمز المصادقة يتكون من خمسة أرقام فقط ، لذلك في حالة حدوث ثغرة أمنية يمكن اكتشافها بسهولة في بضع ثوانٍ فقط. رموز التحقق التي تم إرسالها.
قد يسمح هذا للمهاجم باعتراض حزمة بيانات والتنصت لرؤية محتوياتها ، وكشف الشفرة على مرأى من الجميع دون تشفير.
من يقف وراء الهجوم؟
تمكن فريق Semicolon من تعقب عناوين بروتوكول الإنترنت المستخدمة في الهجوم وتحديد مزودي الخدمة الرئيسيين والأفراد المشتبه في تورطهم في الهجوم.
وجدوا أيضًا أن العناوين المستخدمة في الهجوم قد شاركت سابقًا في هجمات منسقة تستهدف الأجهزة الإلكترونية، شمل دخول الخدمة في ألمانيا والمملكة المتحدة وكازاخستان في 2021 و 2022 و 2023 هجمات البريد الإلكتروني والبريد الإلكتروني العشوائي وهجمات تطبيقات الويب وهجمات القوة الغاشمة، أبلغ الأشخاص المتضررون عن هذه الهجمات وتم حجب العناوين وإدراجها في القائمة السوداء.
كيف تعامل فريق Semicolon مع Telegram؟
قال مدير فريق Semicolon ، فياض عطوي ، إن الفريق قد تواصل رسميًا مع Telegram لتقديم معلومات عن المهاجمين وأجهزتهم وعناوينهم الرقمية والأسباب المحتملة لهذا الأمن الخطير ، إلى جانب تحليل عدة حالات وقد قدموا تقريرين مفصلين.
وجاري انتظار إدارة حماية Telegram لمعالجة هذه التقارير والعمل عليها في اسرع وقت ممكن.
كيف يمكنني حماية حسابي من هذا الهجوم؟
يوصي فريق Semicolon بأن يقوم جميع مستخدمي Telegram على جميع الأجهزة وأنظمة التشغيل بتمكين ميزة المصادقة الثنائية التي توفرها Telegram.
في تجربتنا ، لم يتمكن المهاجمون من اختراق الحسابات مع تمكين هذه الميزة ، على الرغم من حصولهم على رمز التحقق بنجاح.
لتمكين هذه الميزة ، تحتاج إلى إدخال (الإعدادات) ، (الخصوصية والأمان) ، (التحقق بخطوتين). ثم حدد كلمة مرور قوية تتكون من عدة أحرف وأرقام ، وعنوان بريد إلكتروني يمكنك الوصول إليه إذا نسيت كلمة المرور.
إرسال تعليق