تکنولوژی هرگز از امنیت ۱۰۰ درصدی و مقاومت در برابر خطا بهره‌مند نبوده است

فردی با استفاده از ۹۹ موبایل در گوگل مپس ترافیک مصنوعی ایجاد کرد

هنرمندی به نام سایمون وکرت با چرخاندن ۹۹ تلفن هوشمند در یکی از خیابان‌های شهر برلین توانست گوگل مپس را فریب داده و کاری کند که آن خیابان پرترافیک نشان داده شود.

تکنولوژی هرگز از امنیت ۱۰۰ درصدی و مقاومت در برابر خطا بهره‌مند نبوده است و حالا فردی سعی کرده در اقدامی جالب توجه صحت اطلاعات گوگل مپس را زیر سوال ببرد. هنرمندی به نام سایمون وِکرت روز گذشته ویدیویی را در یوتیوب آپلود کرد که نشان می‌داد او توانسته با هک سرویس نقشه گوگل در این برنامه ترافیک غیرواقعی ایجاد کند.

او در این آزمایش ۹۹ تلفن هوشمند را درون یک گاری قرار داده و آن را در نزدیکی یکی از دفاتر گوگل درونی خیابانی در شهر برلین حرکت داده است. در نتیجه گوگل مپس احساس کرده که افراد و احتمالا اتومبیل‌های زیادی در این خیابان به آهستگی حرکت می‌کنند و به همین خاطر، آن مسیر را پرترافیک نشان داده است.

 

هک گوگل مپ

هک گوگل مپ

 

گوگل مپس اطلاعات ترافیکی نقشه خود را از حرکت سریع یا آهسته کاربران به دست می‌آورد. این سرویس با تحلیل مشخصه‌هایی مثل سرعت، موقعیت، زمان و چندین مولفه جمعی دیگر نتیجه می‌گیرد که کدام مسیرها پرترافیک و کدام مسیرها کم‌ترافیک هستند. وکرت با فریب دادن نقشه گوگل موفق شده این خیابان را از دسترس خارج کند تا سایر کاربرانی که به دنبال مسیریابی بودند از خیابان‌های اطراف به سمت مقصد خود هدایت شوند.

گوگل هنوز رسما به این اتفاق واکنشی نشان نداده است، اما یکی از مهندسان ارشد این شرکت در توئیتی اعلام کرده که به نظرش انجام چنین کاری ممکن باشد. اگر وکرت واقعا به همین سادگی توانسته گوگل مپس را فریب دهد، این سرویس به‌سرعت باید اصلاح شود تا افراد خرابکار از این ایراد برای مقاصد خود استفاده نکنند.

A guy carted 99 phones around to create traffic jams on Google Maps (Updated)

Update, February 4, 2020 (11:50 AM ET): Yesterday, we saw a statement from Google regarding the Google Maps “hack” detailed in the original article below. Now, we also have some more clarity on how the artist performed the “hack” in question.

In an interview with German newspaper Frankfurter Allgemeine (via ۹to5Google), artist Simon Weckert says that each of the 99 smartphones in the wagon had their own connected SIM card and each one was actively using Maps for navigation. He discovered that if the wagon stopped moving, Maps would not show a traffic jam, so the wagon had to consistently be in motion for a jam to get registered.

Additionally, if a vehicle drove by the wagon at a normal speed, Maps would also register traffic as normal. It was only when the wagon was in motion and the street was empty that a traffic jam would show on Google Maps.

Google had this to say in response to the “hack” of using 99 smartphones to cause Maps to register false traffic jams:

Whether via car or cart or camel, we love seeing creative uses of Google Maps as it helps us make maps work better over time.

The company also reaffirmed its commitment to making Maps as accurate as possible. Google also pointed out in a tongue-in-cheek fashion that it can distinguish between cars and motorcycles in some regions around the world — but it hasn’t deduced a formula for wagons yet.


Original article, February 3, 2020 (03:16 AM ET): Technology is not always foolproof and that’s exactly what a new Google Maps experiment tried to prove. Artist Simon Weckert has posted a video on YouTube showing how he managed to “hack” Google Maps to create virtual traffic jams on the streets of Berlin.

For his experiment, Weckert loaded 99 smartphones running Google Maps into a cart. He then had someone wheel that cart around various streets in Berlin, including outside the Google office.

The phones apparently fooled Google Maps into thinking that there was a high concentration of users on those streets. Because the phones were in a cart, Maps was further tricked into believing that the traffic was slow-moving.

As a result, the navigation app started showing virtual traffic jams by turning green streets to red. You can watch the video below to see the trick in action.

Why did this happen?

Google Maps uses data generated by users to identify fast or slow moving traffic as well as traffic jams. By analyzing things like speed, location, and other crowdsourced data, Google generates a live traffic map of an area or a road.

Weckert apparently took advantage of these very Google Maps features to fool the app into marking streets as red. As a result, nearby users could have been diverted to other routes even though the streets in question were actually empty.

Of course, the whole thing could also be a ruse since the artist doesn’t really go into a lot of details in his post describing the so-called hack.

Google has not officially commented on Weckert’s experiment. However, a Senior Software Engineer for Google Maps has tweeted that he believes it’s possible to pull off such a stunt.

If true, this is definitely something the tech giant should look into fixing. Someone with malicious motives could take advantage of the loophole to actually mess with the service and its users.

For instance, a fake traffic jam could be created because of which emergency services like ambulances are diverted to longer routes. Google should conduct a full investigation into the matter so something like that doesn’t happen.

امنیت تلگرام طلایی

تلگرام طلایی

امنیت تلگرام طلایی

بررسی امنیت و رعایت حریم خصوصی تلگرام طلایی صورت گرفته است. با بررسی‌های اولیه مشخص گردید که ⁧ #تلگرام_طلایی ⁩ با دو دسته سرور در ارتباط است:

‌‏۱. سرورهای رسمی تلگرام
‌‏۲. سرورهای تلگرام طلایی

‌‏همچنین مشخص شد داده‌هایی را بدون اطلاع کاربر ارسال می‌کند.

‌‏پس از بررسی کد جاوای تلگرام طلایی قابلیت‌های متعددی برای سرقت اطلاعات و انجام اعمال ناخواسته کاربر در این نرم‌افزار کشف شد که با چند سرور خاص (مانند ⁦ hotgram.ir ⁩) در ارتباط بود و داده‌هایی حیاتی را به این سرورها ارسال می‌کرد.

برخی از این قابلیت‌ها اطلاعات شخصی کاربر را ارسال می‌کنند و برخی دیگر از طرف کاربر عملیات خاصی را اجرا می‌کنند.
در ادامه به تعدادی از این قابلیت‌ها اشاره می‌شود. موارد ارسال اطلاعات شخصی عبارت است از:

برخی از قابلیت ها

۱. می‌تواند لیست تمام گروه‌ها و ربات‌ها که کاربر در آن‌ها عضو است را به سرورهای خود ارسال کند. در این قابلیت، حریم شخصی نقش می‌شود.

‌‏۲. امکان ارسال لیست تمام کانال‌هایی که کاربر در آن‌ها عضو هست و اینکه آیا کاربر مدیر آن کانال است یا نه؟ در این قابلیت، حریم شخصی نقش می‌شود.

۳. امکان دریافت و ارسال لیست تمام مخاطبین کاربر به همراه نام‌کاربری آن‌ها در تلگرام. با توجه به تلگرام طلایی تنها یک کلاینت هست، چنین عملی را نباید انجام دهد، البته توجیه خاصی برای این عمل نیز وجود دارد.

‌‏۴. امکان ارسال موقعیت مکانی کاربر به سرورهای تلگرام طلایی. استدلال برای این عمل نیز مانند قابلیت قبلی است.

۵.امکان سرقت کد Authentication تلگرام که با استفاده از آن می‌توان به اکانت تلگرام کاربر مد نظر دسترسی کامل پیدا کرد.

۶.ارسال اطلاعات پروکسی سرور ذخیره شده روی کلاینت به سرورهای تلگرام طلایی.

اعمالی که بدون اطلاع کاربر از طرف او انجام می‌دهد:

۱. امکان عضو کردن کاربر در یک کانال خاص به صورت اجباری

۲. امکان رپورت کردن یک کانال خاص توسط کاربران به صورت مخفی

۳. امکان بیرون رفتن و پاک کردن کانال توسط مدیر کانال

۴. امکان بازدید یک URL خاص توسط کاربران به صورت مخفی (می‌تواند برای انجام حملات DDoS یا افزایش آمار بازدید یک سایت استفاده شود)

توسعه‌دهندگان این نرم‌افزار

متاسفانه یا خوشبختانه توسعه‌دهندگان این نرم‌افزار افرادی غیر حرفه‌ای بوده‌اند و اشتباهات امنیتی را مرتکب شده‌اند. به عنوان مثال راه ارتباطی ارسال اطلاعات به سرورها بدون هر نوع رمزنگاری و کدگذاری است.

بنابراین هر کسی می‌تواند با شنود شبکه، به راحتی اطلاعات شخصی‌ای که به سرورهای تلگرام طلایی ارسال می‌شوند را ببیند. این یعنی تلگرام طلایی بستری ناامن را برای کاربران و خود فراهم کرده است.

که هکرهای می‌توانند با حمله به این پروتکل ارتباطی ضعیف، علاوه بر سرقت اطلاعات، اعمال مخربی را از سوی کاربران و تلگرام طلایی انجام دهند.

مقایسه نسخه‌های مختلف

با مقایسه نسخه‌های مختلف تلگرام طلایی متوجه شدیم که سرویس‌های مختلف به تدریج و در نسخه‌های مختلف به تلگرام طلایی اضافه شده‌اند. همچنین در نسخه‌های جدیدتر تلاش‌هایی برای مخفی کردن و مبهم‌سازی کدهای مخرب صورت گرفته بود.

نتیجه:

در انتها می‌توان گفت که با یکی از بزرگترین ابزارهای جاسوسی و یکی از بزرگترین Botnetهای تاریخ ایران مواجه هستیم که غیر حرفه‌ای نوشته شده است. استفاده از تلگرام طلایی به هیچ‌وجه توصیه نمی‌شود.