ماجرای ذخیره مک ‌آدرس در پیام رسان سروش چیست

   
نام نویسنده:
 جمعه 7 اردیبهشت 97 ساعت: 10:00:00

پیام رسان سروش یکی از پیام رسان‌های ملی است که بعد از بحث فیلترینگ پیام رسان‌های خارجی به یکی از گزینه‌های پیش‌رو برای مهاجرت کاربران تبدیل شد. به دنبال این ماجرا شایعات بسیاری در خصوص امنیت این پیام رسان منتشر شد که به بررسی این شایعات و البته یک باگ رفع شده در سروش می‌پردازیم.

باگ‌های امنیتی و شایعات درباره پیام رسان سروش

1- بدست آوردن شماره ادمین کانال‌ها در پیام رسان سروش

پس از گذشت مدتی مشخص شد که در این پیام رسان باگ امنیتی وجود داشته است که به واسطه آن به راحتی می‌توان شماره ادمین کانال‌ها را بدست آورد. برای اولین بار این باگ امنیتی با انتشار شماره وزیر ارتباطات و فناوری اطلاعات، محمد جواد آذری جهرمی مشخص شد.

برای نخستین بار میلاد نوری، یکی از کارشناسان فناوری اطلاعات که در کانال شخصی خود در تلگرام این دست باگ‌ها را بررسی می‌کند، وجود این باگ امنیتی در پیان رسان سروش را خبر داد.

پیشنهاد فیسیت : وزیر ارتباطات، اولین قربانی افشای اطلاعات خصوصی در پیام رسان سروش شد

 

2- عکس گرفتن از کاربر به محض باز کردن پیام رسان سروش

بعد از این ماجرا شاهد انتشار ویدیویی در شبکه‌های اجتماعی بودیم که گفته می‌شد به محض باز کردن پیام رسان سروش از کاربر عکس برداری می‌شود. اگر به دقت به تصویر منتشر شده توجه کنید می‌بینید که پیام از نوع GET است. به این معنا که کاربر در حال دریافت یک تصویر از سرور است و نه ارسال تصویر به سرور. بنابراین این ادعا کامل دروغ بوده است.

عکس گرفتن از کاربر به محض باز کردن پیام رسان سروش

عکس گرفتن از کاربر به محض باز کردن پیام رسان سروش

 

نظر میلاد نوری درباره مسئله ارسال تصویر به سرور سروش

نظر میلاد نوری درباره مسئله ارسال تصویر به سرور سروش 

3- ذخیره مک آدرس در پیام رسان سروش

بار دیگر از روز گذشته تصاویری در کانال‌های تلگرامی دست به دست می‌شود که از ذخیره مک آدرس دستگاه توسط پیام رسان سروش خبر می‌دهد.

باید بگوییم این ادعا هم یکی از شایعات کذب در خصوص پیام رسان سروش است. به گفته میلاد نوری این تصویر مربوط به ذخیره مک آدرس روی رجیستری سیستم عامل ویندوز و مربوط به نسخه دسکتاپ این پیام رسان است.

ذخیره مک آدرس در پیام رسان سروش

ذخیره مک آدرس در پیام رسان سروش

 

مک آدرس چیست

مک آدرس (mac address) که مخفف واژه media access control address است، شناسه‌ای 48 بیتی و یکتا است که به کارت شبکه هر دستگاه اختصاص می‌یابد. 24 بیت اول سازنده دستگاه را مشخص می‌کند و 24 بیت دوم مشخصه خود دستگاه است.

این آدرس همان طور که قبلا هم اشاره کردیم باید منحصر به فرد باشد اما با استفاده از نرم‌افزارهایی می‌توان آدرس فیزیکی دستگاه یا همان مک آدرس دستگاه را تغییر داد.

 

میلاد نوری درباره ذخیره شدن مک آدرس دستگاه در رجیستری ویندوز توضیح داده است:

ذخیره و ارسال مک آدرس کاربر به سرور در اپلیکیشن‌ها مساله دارای نگرانی نیست و در مورد تصویر منتشر شده لازم است به این سه نکته دقت کنید:

۱- اگر قرار باشد یک نرم افزار مک آدرس شما را به سرور خود ارسال کند، بدون ذخیره کردن آن در رجیستری و ... هم می‌تواند این ارسال را انجام دهد.

۲- حدس من این است که اپلیکیشن‌های مشابه سروش احتمالا به جهت نماش نشست‌های فعال (session) اکانت شما از این آدرس استفاده می‌کنند. به فرض شما با دو لپ تاپ با مشخصات کاملا یکسان وارد حساب خود شده باشید، از این طریق می‌توانند این دو دستگاه را به عنوان دو دستگاه مجزا در لیست نشست‌های فعال در تنظیمات به شما نمایش دهند (مشابه تلگرام).

۳- یکی از دلایل ذخیره این آدرس نیز می‌تواند این باشد که اگر کاربر با ابزارهای خاص اقدام به تغییر مک آدرس خود کرد، نرم افزار دستگاه، وی را به عنوان یک نشست جدید شناسایی نکند و از همان مک آدرس ذخیره شده اولیه استفاده کند.

نتیجه: تصویر منتشر شده هیچ فعالیت غیرعادی را نشان نمی‌دهد و ارسال و استفاده از مک آدرس یک سیستم در عملکرد یک نرم افزار اتفاق عجیبی نیست.

اگرچه ممکن است پیام رسان ملی سروش دارای مشکلاتی چه از نظر ظاهری و چه از نظر امنیتی باشد اما انتشار تصاویر و اخباری کذب آن هم با هدف قرار دادن جامعه بزرگی از افرادی که اطلاعات تخصصی در حوزه کامپیوتر ندارند، مسلما درست نیست و باعث ایجاد بی‌اعتمادی در بین مردم خواهد شد.

 

برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید. 

منبع: فیسیت

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


  • علی
    2018-04-29 22:39:32

    اگر از سروش استفاده می کنید دست از پا خطا نکنید مکو می خوای چکار؟!

    پاسخ دادن
  • خدیجه زارعپور
    2018-04-29 21:05:43

    ضمنا برای رفع ابهام از این جهت که فردی که دانش تخصصی این حوزه رو داره نظر داده و نه من :) تصویری از مطلب منتشر شده در کانال آقای نوری رو به خبر اضافه کردم

    پاسخ دادن
  • نوید
    2018-04-29 18:37:32

    دقیقا منم اومدم همین رو بگم که GET و POST دو روش برای ارسال هستش رو پروتکل HTTP که شما گفتی. نویسنده این مطلب که آخرش هم نوشتی: "افرادی که اطلاعات تخصصی در حوزه کامپیوتر ندارند، مسلما درست نیست" خودت یکی از همونایی که اطلاعات تخصصی نداری ، نظر نده پس. مهندس

    پاسخ دادن
    • خدیجه زارعپور
      2018-04-29 20:58:13

      دو روش عمده برا ارتباط با سرور وجود داره البته روش‌های دیگه هم هست یکی get که برای فراخوانی داده از سرور استفاده میشه مثلا مشاهده یک عکس یا دریافت یک متن روش دیگه post هست ک برای ارسال داده از سمت کاربر به سمت سرور بیشتر استفاده میشه مثل تکمیل یک فرم وب و ثبت اطلاعات در دیتابیس البته این دو روش ب جای هم میتونن استفاده بشن تو این شکل، فقط یک عکس از سرور درخواست شده که احتمالا عکس پروفایل کاربر بوده بنابراین این عکس به هیچ وجه نمی تونه ثابت کنه که عکسی از کاربر گرفته شده و برای سرور ارسال شده ضمنا خود من با برنامه packet capture این مورد رو امتحان کردم و هیچ بسته ای به این شکل ارسال نشده بود

      پاسخ دادن
  • post
    2018-04-28 21:45:57

    بیخود کردن باگ داره کسی بخواد میتونه.پیام رسان سروس با اسم مسخرش .تو دولت ما کم دزدی میکنن حالا نوبت خارج کردن تلگرام هستشمشتی دزد دولت

    پاسخ دادن
  • امیررضا
    2018-04-28 20:40:19

    من بعد از این از سایت پی سی دانلود استفاده خواهم کرد بجای سافت 98 چون اینجا همه اش از سروش خبر اریه می کنه

    پاسخ دادن
  • reza
    2018-04-28 20:29:51

    باگ به مشکل و ایراد سهوی و پیش بینی نشده میگن . ولی تمام مشکلات سروش عمدی هست و کاملا در جهت پرونده سازی برای کاربر . برفرض که سروش و امثالهم هیچ مشکل امنیتی هم نداشته باشند بازهم مسئولینشان مجبورند تمام اطلاعات کاربران را در اختیار بالادستی ها قرار دهند

    پاسخ دادن
  • Milad
    2018-04-28 16:08:08

    اصلا هیچ باگی نداره و امنترین پیامرسان ! باز ما با فیلترشکن میرم تلگرام و نمیایم سروش تمام.

    پاسخ دادن
  • محسن
    2018-04-28 13:16:52

    همچنین آفرین به شما پاچه خوار رژیم :)

    پاسخ دادن
  • پنکه
    2018-04-28 12:12:09

    درودنمیدونم نگارنده این مقاله اطلاعی از برنامه نویسی ندارند و یا اینکه ندارند!برای ارسال فایل دو متد GET و POST وجود دارد که همانطور که مشاهده میشه داره ارسال میشه. ولی بازم آفرین به حمایت شما از نرم افزارهای ایرانی (حتی ضعیف و بدرد نخورشون!!!!)

    پاسخ دادن
شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید