هک تلگرام پارت 2

Mestercomuter Mestercomuter Mestercomuter · 17 دی ·

🔐 Session

تلگرام مثل خیلی از سرویس‌های مدرن، بعد از این‌که یک‌بار وارد حسابت می‌شی، نمی‌خواد هر بار اعصابت رو با کد پیامکی و ورود مجدد خرد کنه. برای همین از چیزی به اسم Session استفاده می‌کنه.

این تصمیم از نظر تجربه کاربری کاملاً منطقیه. اما از نظر امنیتی، یک شرط مهم داره:

تا وقتی سیستم امنه، حساب هم امنه.

این مقاله دقیقاً درباره همین نقطه‌ی میانیه؛ بقول یک استادی یعنی یا 0 باشی یا 1! وسطش که ماییم میشه 0.5 🧐🤣 شوخی کردم! بسه بریم سراغ ماجرا.

Session یعنی تلگرام به این سیستم اعتماد کرده. این اعتماد شامل اطلاعات رمزنگاری‌شده‌ایه که بعد از ورود اولیه ذخیره می‌شه و باعث می‌شه:

  • شماره تلفن دوباره درخواست نشه
  • کد پیامکی لازم نباشه
  • در بعضی شرایط حتی رمز دوم هم دوباره پرسیده نشه

این موضوع باگ نیست ها در جریان باشید طراحی سیستم احراز هویت مبتنی بر Session هست.

مشکل از جایی شروع می‌شه که یک نفر غیر از خودت، به همون سیستمی که لاگینی نزدیک بشه.

اینجا دیگه بحث «هک تلگرام» مطرح نیست؛ بحث امنیت دستگاه مطرحه.

حالا این جمله بالا دقیقا یعنی چی !؟ 😐

بیایید شفاف حرف بزنیم:

بدون دسترسی به سیستم، سرقت Session عملاً ممکن نیست.

اما این جمله یک ادامه‌ی مهم داره.

ولی حد وسط ما که 0.5 بود چیه 😂 خوب ما میگم هست چجوری !؟ 

یک هکر حرفه‌ای منتظر دسترسی فیزیکی نمی‌مونه. اگر مستقیم نتونه وارد سیستم بشه، سعی می‌کنه شرایطی بسازه که از نظر فنی معادل دسترسی باشه.

نه با دیدن پیام‌ها، نه با دونستن شماره، نه با یوزرنیم.

در دنیای واقعی، سناریوها معمولاً به یکی از این‌ها ختم می‌شن:

  • آلودگی سیستم به بدافزار و گرفتن سطح دسترسی بالا
  • نصب نرم‌افزار یا ابزار دستکاری‌شده با ظاهر سالم
  • سوءاستفاده از بی‌دقتی کاربر در فایل‌ها و برنامه‌ها
  • دسترسی به بکاپ‌ها، فضای ابری یا Remote Desktop ناامن

در همه این حالت‌ها، هکر اول سیستم رو به دست میاره؛ تلگرام فقط یکی از پیامدهاست.

دقت کنید اینجا قرار فعلا با دیدگاه هکرمون آشنا بشیم نه صرفاً آموزش کامل حمله شاید در پارت آینده یک چیزایی گفتم ! ولی برای پارت بعد ادامه مطلب رو لازمت میشه ! 

بیا ادامه مطلب 

 

هک تلگرام بدون اطلاع قربانی TelegramHack هک تلگرام بدون لاگین سرقت Session تلگرام me