گزارشی جدید نشان میدهد که اطلاعات ردوبدلشده در سه ربات ناشناس تلگرام، روی سرورهای رباتها ذخیره شدهاند و در معرض خطر قرار دارند.
محققان و پژوهشگران امنیت سایبری از مدتها پیش در مورد امن نبودن رباتهای پیام ناشناس تلگرام هشدار داده بودند و از کاربران میخواستند از این رباتها حداقل برای ارسال اطلاعات مهم استفاده نکنند؛ اما شواهد نشان میدهد که متأسفانه کاربران زیادی توصیهی آنها را نادیده گرفتهاند.
حالا اطلاعات ارسالی بیش از 14 میلیون کاربر سه ربات معروف تلگرام شامل 469 میلیون متن، 11 میلیون عکس و تقریباً 3 میلیون ویدیو در سرورهای سه ربات مذکور ذخیره شده است. ربات ناشناس درواقع واسطهای بین فرستنده و دریافتکنندهی پیام ناشناس محسوب میشود. گفتوگوی ناشناس به این صورت است که کاربر دریافتکنندهی پیام متوجه نخواهد شد که ارسالکنندهی پیام کیست؛ اما این گفتوگو کاملاً هم ناشناس نیست؛ زیرا سرور ربات به اطلاعات چتها دسترسی دارد و بهراحتی میتواند آنها را ذخیره کند.
به نظر میرسد IP سرور از روی درگاه پرداخت لو رفته است و یک تیم (آکادمی ووریکس) که به این اطلاعات دسترسی پیدا کردهاند، با اسکن فایلهای روی سرور، آسیبپذیری را پیدا کردهاند و در نهایت موفق به گرفتن RCE روی سرور اول شدهاند؛ سپس بعد از آنالیز فایلهای php دانلودشده از سرور اول، به دو سرور دیگر نفوذ کردهاند. نکتهی جالب اینجا است که آکادمی ووریکس در نهایت تمام دیتای ذخیرهشده شامل عکس، ویدیو و پیامها را ار روی سرورها بهصورت کامل حذف کردهاند، اما مشخص نیست که مدیران باتها از این اطلاعات بکاپ داشتهاند یا نه!
تصور ناشناس بودن در باتهای ناشناس تلگرام صرفاً به این موضوع برمیگردد که دریافتکنندهی پیام متوجه هویت ارسالکنندهی پیام نخواهد شد، اما در این میان، سرور ربات که در اختیار سازنده ربات است، اطلاعات ارسالی هر دو طرف پیام را دارد، یعنی هم فرستنده و هم گیرنده. شاید سازندهی ربات ادعا کند که اطلاعات خیره نمیشوند، اما واقعیت این است که راهی برای اثبات ادعایش وجود ندارد، حتی اگر ربات ناشناسی سورس کدش را در دسترس عموم قرار دهد، باز هم نمیدانیم که آیا آن سورس کد روی سرور اجرا میشود یا خیر.
حتی اگر سورس کد همان سورس کدی باشد که بهصورت عمومی در دسترس کاربران قرار گرفته است، باز هم وبسرور ربات میتواند کل درخواستها از سمت تلگرام را در جای دیگر لاگ کند که شامل پیامهای ارسالشده میشود. نکتهی مهم دیگر این است که حتی اگر ربات ناشناس اطلاعات را نه در دیتابیس و نه در وبسرور لاگ نکند، کاربر صاحب ربات (دارندهی توکن) این امکان را دارد که با تابع copyMessages تلگرام، تمامی پیامها را از ابتدا تا انتها برای خودش یا شخص دیگری ارسال کند.
همیشه در هنگام تعامل با با رباتهای ناشناس فرض را بر این بگیرید که صاحب و سازندهی آن ربات به پیامهای ردوبدلشدهی بین شما و ربات دسترسی دارد. اگر رباتی را به گروهی اضافه میکنید، آن ربات بسته به ماهیتی که دارد، شاید به کل پیامهای گروه دسترسی داشته باشد و شاید هم نه؛ اما در گفتوگوهای خصوصی در رباتهای ناشناس سازندهی ربات همواره به محتوای ارسالی شما دسترسی دارد.
دیدگاهتان را بنویسید