البلاد- وكالات
رغم أن تطبيق “تليجرام” يُصنَّف من بين أكثر تطبيقات المراسلة أمانًا في العالم، فقد تمكن فريق Semicolon المتخصّص في أمن المعلومات منر رصد هجوم إلكتروني واسع يستهدف مستخدمي تطبيق “تليجرام” عبر استغلال خلل أمني في التطبيق يتيح للمهاجمين اختراق الحساب دون الحاجة لأي تواصل أو تفاعل مع الضحية.
وكشف الفريق أن الخلل الأمني يكمن في خاصية رمز التحقق لمرة واحدة Verification Code One-Time الذي يُرسل للمستخدم عند محاولة الولوج إلى حسابه من جهاز أو متصفح جديد، حيث يحتاج المستخدم إلى إدخال هذا الرمز لتأكيد ملكيته للحساب، ويستغل المهاجمون هذا الخلل للحصول على الرمز بالنيابة عن المستخدم، وهذا يمكّنهم من الولوج إلى الحساب والاطلاع على المحادثات والمعلومات الخاصة بالمستخدم دون إذنه أو علمه.
ولدى “تليجرام” نوعان من رموز التحقق، الأول يُرسل عبر خدمة الرسائل النصية القصيرة SMS، وذلك في حال كان المستخدم جديدًا في التطبيق ولم يفتح حسابه من أي جهاز أو متصفح من قبل، والنوع الثاني يُرسل عبر رسالة داخل تطبيق تيليجرام نفسه (من حساب تليجرام الرسمي والموثّق بالعلامة الزرقاء) وذلك في حال كان الحساب مفعّلًا من قَبلُ في جهاز أو متصفح آخر، واللافت في الهجوم أنه يستهدف النوع الثاني، حيث إن كافة الحالات التي رُصدت وحُلِّلت كان ضحاياها يتلقون رمز التفعيل عبر رسالة من تيليجرام داخل التطبيق، وليس عن طريق الرسائل النصية القصرة، قبل ثوانٍ من إشعارهم بأن الحساب قد فُتح واستُخدم في جهاز جديد.
كيف يحدث الهجوم؟
وبحسب “البوابة العربية” فإن المهاجمين يستخدمون قوائم مسرّبة أو مولّدة بطرق غير شرعية تحتوي على أرقام هواتف مرتبطة بحسابات “تليجرام”، وقد تكون شبيهة بتلك القوائم التي سُرِّبت من خدمة واتساب قبل أشهر وطالت أكثر من 487 مليون مستخدم بحسب تقرير صادر عن فريق (سايبر نيوز) Cybernews، والتي تشكّل 25 في المئة من قاعدة البيانات، التي بِيعت في منتديات الإنترنت المظلم بمبلغ يقارب 7,000 دولار أمريكي.
وباستخدام القوائم، يعمل المهاجمون على أتمتة الهجوم عبر تعليمات برمجية خبيثة لتستهدف أكبر عدد ممكن من الحسابات في فترة زمنية قصيرة، فما أن تحصل الأجهزة المستخدمة في الهجوم (البوتات) على رمز التحقق، حتى تخترق مباشرةً الحساب قبل انتهاء صلاحية الرمز (تنتهي صلاحية الرمز خلال 5 دقائق).
ويعود إلى شركة تليجرام وحدها مسؤولية الكشف عن سبب وراء الخلل الأمني بدقة، لكن بحسب التقديرات الأولية للفريق، فمن المتوقع أن يكون الخلل ناتجًا عن ثغرة أمنية في إحدى خدمات تيليجرام تتيح للقراصنة توليد عدد لانهائي من رموز التحقق أو ما يعرف بهجوم القوة العمياء Brute Force Attack علمًا أن رمز التحقق مكوّن من 5 أرقام فقط مما يسهّل كشفه في ثوانٍ فقط في حال وجود الثغرة، أو قد يكون الخلل ناتجًا عن ضعف في نظام تشفير الرسائل التي تحتوي على رموز التحقق المرسلة داخل تيليجرام، الأمر الذي قد يسبب ظهور الرمز بوضوح دون تشفير عند اعتراض المهاجم حزمة البيانات وتفكيكها للاطلاع على محتواها Packet Sniffing.
وتتبع فريق Semicolon عناوين بروتوكول الإنترنت المستخدمة في الهجوم، وتمكن من تحديد مزود الخدمة الرئيسي وأفرادًا مشتبهًا بضلوعهم في الهجوم، وتبيّن أن العناوين المستخدمة في الهجوم قد سبق وشاركت في هجمات منظّمة استهدفت خدمات إلكترونية في ألمانيا وبريطانيا وكازاخستان عام 2021 و2022 و2023، وشملت هجمات عبر البريد الإلكتروني الضار Email Spam، وهجمات تطبيقات الويب Web App Attack، وهجمات القوة العمياء Brute Force. وقد أبلغ عن هذه الهجمات المتضررون فحُظرت العناوين وأُدرجت في القوائم السوداء.
يوصي فريق Semicolon كافة مستخدمي تطبيق تليجرام على كافة الأجهزة وأنظمة التشغيل بتفعيل خاصية التحقق بخطوتين Two-Step Verification التي تقدمها تليجرام. حيث أثبتت التجربة فشل المهاجمين في اختراق الحسابات التي فعّلت هذه الخاصية، رغم نجاحهم بالحصول على رمز التحقق.
ولتفعيل الخاصية، يتعين عليك الدخول إلى: (الإعدادات) Settings، ثم (الخصوصية والأمان) Privacy and Security، و(التحقق بخطوتين) Two-Step Verification. ثم تحديد كلمة مرور قوية مكونة من عدة أحرف وأرقام، وتحديد بريد إلكتروني يمكن الوصول إليه في حال نسيان كلمة المرور.
