الكشف عن رقم الهاتف والموقع الجغرافي من خلال الضعف في برقية

في الآونة الأخيرة ، ناقشت Telegram بشكل متزايد موضوع اختراق الأشخاص وتسريب البيانات الشخصية. كنت أتساءل عن مدى مقاومة نظام Telegram البيئي نفسه لمثل هذه التسريبات.

تحت القصة قصة كيف وجدت خطأ في Telegram. يسمح لك الخطأ بتضليل المستخدم ، ودفعه إلى مشاركة بياناته دون علم - الموقع الجغرافي ورقم الهاتف.

وإليك كيف يعمل:


لطالما كان تعقيد النظام عدواً للأمن.

نمت Telegram ، وتوقفت عن كونها مجرد رسول ، ونمت لتصبح منصة وسائط كبيرة ذات وظائف غنية. تبرز Telegram Bot API كمنزل منفصل ، مما يسمح لك بإنشاء تطبيقات كاملة داخل برنامج المراسلة - ما يسمى ببرامج الروبوت.

على الأرجح ، يعرف كل من حاول إنشاء الروبوت الخاص به بالفعل أنه يمكن إرسال المستخدم لطلب رقم هاتفه باستخدام زر خاص.

يمكن تعيين النص على هذا الزر إلى أي. علاوة على ذلك ، يمكن للبوت استخدام نفس الأزرار للتفاعلات الأخرى:



بعد النقر على الزر ، سيظهر للمستخدم بالطبع تحذيرًا من أن جهة الاتصال الخاصة به سيتم إرسالها الآن إلى الروبوت:



تتحدث هذه الرسالة بشكل واضح تمامًا عن خطر نزع الهوية ، وتحذر المستخدم المدروس من الأفعال التي تهدده.

أثناء مراجعة تحديثات واجهة برمجة التطبيقات ، تذكرت أنه في مرحلة ما ، أعطت Telegram للمستخدمين الفرصة لإجراء توطينهم الخاص للرسول. كانت هناك أمثلة عندما تم استخدام الترجمة للتعديلات المصورة للواجهة. في تلك اللحظة ، حدثت لي نفس الفكرة التي قد تكون لديك الآن:

ولكن ماذا لو حاولت "ترجمة هزلية" لمربع حوار يحذر المستخدم من نقل رقم الهاتف إلى الروبوت ، واستبدال نصه؟



في البداية ، اعتقدت أن الحصول على مستخدم لتثبيت تعريب ملف xml خارجي في التطبيق سيكون أكثر صعوبة من مجرد إقناع النقر فوق مشاركة جهة الاتصال. في الواقع ، تمامًا ، باستخدام ملف xml ، عرضت Telegram توزيع توطينها بين المحاورين.

لذلك فكرت ، حتى جئت عبر معالج الارتباط setlanguage في التعليمات البرمجية المصدر لتطبيق الروبوت .



بالضبط ما هو مطلوب!

اتضح أن Telegram قد جعلت منذ وقت طويل منصة ترجمة ، translations.telegram.org ، متاحة لجميع مستخدمي Telegram ، والآن ليست هناك حاجة لنقل أي ملفات xml.



فقط انقر على الرابط t.me/setlanguage/٪lang٪، وبعد ذلك سيرى المستخدم مربع حوار يطلب منك تثبيت لغة جديدة. وهذه النافذة أقل تخويفًا بكثير من رسالة حول طلب رقم هاتف:

كيف تعمل؟

سجل في translations.telegram.org .

إضافة اللغة الخاصة بك، ترجمة اللازمة عناصر واجهة و أكثر زوجين آخرين .

في التوطين ، يمكنك كتابة أي شيء تريده. سنكتب نصًا غير ضار بدلاً من تحذير رهيب حول مشاركة الموقع الجغرافي ورقم الهاتف. نفعل نفس الشيء لمنصات أخرى.

لغتنا السامة جاهزة. يبقى أن تنزلق إلى المستخدم.



ما زلت لا أستطيع أن أجد طريقة لمعرفة ما إذا قام المستخدم بتثبيت الأقلمة المقدمة له. لم تكن هناك إحصائيات لغوية في translations.telegram.org ، ولا تغييرات في ملف تعريف المستخدم. يتيح لك Bot api معرفة لغة المستخدم من خلال معلمة code_code، ولكن قيمته مأخوذة من إعدادات النظام. لا يؤثر تغيير اللغة في التطبيق على المعلمة.

حسنًا ، أضف فقط القليل من التأخير بعد الرسالة مع رابط للغة. بعد اختيار اللغة ، نقترح على المستخدم التعرف على قائمة الروبوت. عند النقر فوق "موافق" في مربع الحوار هذا ، يتسرب الرقم إلى برنامج التتبُّع برسالة ، ويقوم البوت بحذف هذه الرسالة فورًا. إذا كان برنامج التتبُّع يستخدم الرد التلقائي على الويب لتلقي التحديثات ، فسيتم حذف الرسالة بشكل أسرع وقد لا يفهم المستخدم أنه أرسل جهة اتصاله للتو.

بالمناسبة ، على غرار طلب الاتصال ، يمكن للبوت أن يطلب من المستخدم مشاركة موقعه الجغرافي. نعم ، ويمكن أيضًا ترجمة مربع الحوار هذا.

كيفية الإصلاح

من الواضح أنك لا يجب أن تسمح للمستخدمين بترجمة الواجهة بالكامل بدون إشراف. بالمناسبة ، يتم تمكين الإشراف على الترجمة ، على سبيل المثال ، مربع الحوار translations.telegram.org/rutech/ios/unsorted/AuthCode.Alert . تم الإبلاغ عن الحاجة إلى الاعتدال من خلال التسمية الحرجة.



اتضح أن مثل هذا الإغفال الصغير مثل عدم وجود تسمية حرجة للحوارات حول مشاركة الأرقام وتحديد الموقع الجغرافي يؤدي إلى تسرب. تسرب بيانات حساسة للغاية ، كما هو الحال بالنسبة لمراسل يقوم ببناء تسويقه حول الخصوصية / الأمن.

لا يمكن أن يكون المرسل المرتبط برقم هاتفك الشخصي خاصًا. يمكن أن يزيد فقط من تكلفة الكشف عن هويتك.

سقطت هذه الثغرة الأمنية في برنامج برقية باغتي باغ وتم تصنيفها بـ 100 يورو.

PS

تعال إلينا في Telegram chatsecinfosec . هناك نشارك خبرتنا ونناقش كل ما يتعلق بأمن المعلومات: حشرة فضولية ، وآفات ، وأوراق وأمن عملي ، وتهديدات وطرق جديدة للتعامل معها.