مدیر گروه امنیتی آشیانه ایران گفت: کشف دو آسیبپذیری خطرناک در تلگرام (از جمله بدست آوردن پسورد کدشده کاربران) رسما به اطلاع سازندگان نرمافزار رسانده شده و مطابق وظیفه هکرهای کلاه سفید، این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است.
بهروز کمالیان اظهار داشت: اخیرا گروه امنیتی آشیانه ایران از کشف ۲ آسیبپذیری در نرمافزار پیامرسان تلگرام و ثبت آنها در سایتهای امنیتی خبر داد.
مدیر گروه امنیتی آشیانه ایران افزود: بر این اساس نوعی از آسیبپذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد به صورت کد شده برای درخواست کننده ارسال میشود، در آسیبپذیری دوم که با باگ امنیتی CSRF اتفاق میافتد شخص آسیبرسان پیامی حاوی یک لینک مخرب برای قربانی ارسال میکند که با کلیک روی این پیام و باز شدن یک صفحه وبسایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین میرود.
البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد.
کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این ۲ آسیبپذیری اقدام به ثبت آنها در سایتهای امنیتی کرده است تا علاوه بر اثبات وجود آسیبپذیریها، زمینه سوءاستفاده از آنها فراهم نشود و سپس کشف آسیبپذیریها اطلاعرسانی شد. در مجموع فرآیند کشف تا اطلاعرسانی حدود ۳ روز به طول کشید.
وی تاکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیبپذیری اول و مربوط به رمز عبور، پس از کشف آسیبپذیری طبق وظیفه هکرهای کلاه سفید، اقدام لازم برای ثبت و اطلاعرسانی به تلگرام برای برطرف کردن آسیبپذیری را آغاز کرده است و به طبع برای ورود به مراحل بعدی که رمزگشایی کلمات عبور رمزنگاری شده است تلاشی نکرده است.
مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمیکند و رمزنگاری مخصوص به خود را دارد، بعید به نظر میرسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفادههای شخصی قرار گرفته باشد.