هک تلگرام پارت 2
· 17 دی · 🔐 Session
تلگرام مثل خیلی از سرویسهای مدرن، بعد از اینکه یکبار وارد حسابت میشی، نمیخواد هر بار اعصابت رو با کد پیامکی و ورود مجدد خرد کنه. برای همین از چیزی به اسم Session استفاده میکنه.
این تصمیم از نظر تجربه کاربری کاملاً منطقیه. اما از نظر امنیتی، یک شرط مهم داره:
تا وقتی سیستم امنه، حساب هم امنه.
این مقاله دقیقاً درباره همین نقطهی میانیه؛ بقول یک استادی یعنی یا 0 باشی یا 1! وسطش که ماییم میشه 0.5 🧐🤣 شوخی کردم! بسه بریم سراغ ماجرا.
Session یعنی تلگرام به این سیستم اعتماد کرده. این اعتماد شامل اطلاعات رمزنگاریشدهایه که بعد از ورود اولیه ذخیره میشه و باعث میشه:
- شماره تلفن دوباره درخواست نشه
- کد پیامکی لازم نباشه
- در بعضی شرایط حتی رمز دوم هم دوباره پرسیده نشه
این موضوع باگ نیست ها در جریان باشید طراحی سیستم احراز هویت مبتنی بر Session هست.
مشکل از جایی شروع میشه که یک نفر غیر از خودت، به همون سیستمی که لاگینی نزدیک بشه.
اینجا دیگه بحث «هک تلگرام» مطرح نیست؛ بحث امنیت دستگاه مطرحه.
حالا این جمله بالا دقیقا یعنی چی !؟ 😐
بیایید شفاف حرف بزنیم:
بدون دسترسی به سیستم، سرقت Session عملاً ممکن نیست.
اما این جمله یک ادامهی مهم داره.
ولی حد وسط ما که 0.5 بود چیه 😂 خوب ما میگم هست چجوری !؟
یک هکر حرفهای منتظر دسترسی فیزیکی نمیمونه. اگر مستقیم نتونه وارد سیستم بشه، سعی میکنه شرایطی بسازه که از نظر فنی معادل دسترسی باشه.
نه با دیدن پیامها، نه با دونستن شماره، نه با یوزرنیم.
در دنیای واقعی، سناریوها معمولاً به یکی از اینها ختم میشن:
- آلودگی سیستم به بدافزار و گرفتن سطح دسترسی بالا
- نصب نرمافزار یا ابزار دستکاریشده با ظاهر سالم
- سوءاستفاده از بیدقتی کاربر در فایلها و برنامهها
- دسترسی به بکاپها، فضای ابری یا Remote Desktop ناامن
در همه این حالتها، هکر اول سیستم رو به دست میاره؛ تلگرام فقط یکی از پیامدهاست.
دقت کنید اینجا قرار فعلا با دیدگاه هکرمون آشنا بشیم نه صرفاً آموزش کامل حمله شاید در پارت آینده یک چیزایی گفتم ! ولی برای پارت بعد ادامه مطلب رو لازمت میشه !
بیا ادامه مطلب
