* این مطلب از انجمن شاهین سافت و با اجازه نویسنده ّن برداشت شده است
اکثر کاربران اندروید در هنگام نصب پلیکیشن به نکات امنیتی از جمله دسترسی های اپلیکیشن اصلا توجهی نمی کنند ، در صورتی که اگر اپلیکیشن را از فروشگاه یا مارکت معتبری دانلود نکرده باشند ، این دسترسی ها می تواند بسیار برایشان خطرناک محسوب شود.
تنها نگاه کردن به انبوه اجازه هایی که وایبر برای نصب شدن از شما می گیرید کافی است تا به عمق فاجعه پی ببریم!
به ترتیبی که در تصویر مشخص است به بررسی اجازه های اپلیکیشن وایبر می پردازیم :
1: دسترسی به اطلاعات شخصی از قبیل : مدیریت مخاطبان( ویرایش دفترچه تماس ) ، خواندن تاریخچه تماس ( تماس های ورودی و خروجی اخیر ، یعنی اینکه در چند ساعت یا چند روز گزشته شما به چه کسانی زنگ زده اید یا چه کسانی به شما زنگ زده اند!) ، خواندن مخاطبان دفترچه تماس شما ، مشاهده جریان اجتماعی ( مربوط به شبکه های اجتماعی) ، نوشتن تاریخچه تماس ( امکان نوشتن تاریخچه تماس به اپلیکیشن ! با ترکیب اجازه ی "خواندن تاریخچه" اجازه ساخت تاریخچه تماس تقلبی را فراهم می کند ! ) ، نوشتن جریان اجتماعی ( در واقع مدیریت کامل جریان های اجتماعی)
2:سرویس هایی که برای شما هزینه در بر دارند از قبیل : تماس مستقیم با شماره ها ، ارسال پیام کوتاه ( چون به اپلیکیشن این اجازه ها را داده اید بدون اجازه مجدد شما می توانند با هر شماره ایی تماس گرفته و به هر شماره ایی پیام کوتاه ارسال کنند)
3:پیام های شما : ویرایش پیام های کوتاه و پیام های چند رسانه ایی (SMS-MMS) ، خواندن پیام های کوتاه و پیام های چند رسانه ایی ، در یافت پیام کوتاه و پیام چند رسانه ایی ( در واقع ترکیب تمام این اجازه های می شود مدیریت کامل بر sms و mms ، وایبر می تواند از تلفن شما پیام کوتاه ارسال کند ، پیام های شما را بخواند ، پیامهایتان را ویرایش کند ، از دریافت پیام جدید مطلع شود، و حتی می تواند پیامی که از طرف دوستتان برایتان ارسال شده را به شکل دیگری ویرایش کند! مثلا فرض کنید دوست شما برایتان پیام ارسال کرده که " ساعت دو بیا خونه ما" وایبر می تواند این پیام را به این صورت ویرایش کند " ساعت ده میام خونتون " !!!! البته این بدین معنی نیست که اینکار را می کند ولی می تواند این کار را بکند )
4:موقعیت شما : دریافت موقعیت شما از طریق gps و موقعیت مبتنی بر شبکه ، در واقع اگر gps شما روشن باشد موقعیت دقیق شما را دریافت می کند و اگر به شبکه موبایل یا اینترنت متصل باشید موقعیت حدودی شما را در دست دارد
5:ارتباطات شبکه ایی : دسترسی کامل به شبکه و بلوتوس ! میتواند با سایر دستگاه ها جفت شود و کاملا به هر شبکه ایی دسترسی دارد!
6: حساب های شما : افزودن ، ویرایش و حذف اکانت های شما ( اکانت گوگل ، فیسبوک ، و ... می توانید این اکانت ها را در setting و بخش اکانت هایتان ببینید ، وایبر علاوه بر اینکه به تمام آنها دسترسی دارد ، میتواند رمز عبور آنها را نیز تغییر دهد ! )
7: فضای ذخیره : ویرایش با حذف محتوای حافظه تلفن! ( کاملا واضح است )
8: کنترل سخت افزار : تغیر دادن تنظیمات صدا ، ضبط صدا با میکروفن ، گرفتن عکس با دوربین ، ضبط فیلم با دوربین!(البته شاید به نظر بیاید که از این اجازه ها برای ارسال پیام صوتی ، یا عکس و ویدئو در پیام ها استفاده می شود ، بله در این موارد استفاده می شود ولی واقعیت این است که نرم افزار اگر بخواهد می تواند بدون اجازه شما اقدام به ضبط صدا و فیلم بکند)
9:تماس های تلفنی : خواندن وضعیت تلفن
10: ابزار های سیستمی : دسترسی به تنظیمات بلوتوث ، تغییر وضعیت اتصال به شبکه(قابلیت قطع اتصال به شبکه ها) ، غیر فعال کردن قفل صفحه ، رسم روی سایر برنامه ها ( قابلیت پاپ آپ وایبر است که اگر در حال استفاده از یک اپلیکیشن باشید روی صفحه و جلو تر از سایر اپلیکیشن ها یک پاپ آپ باز می کند و پیام جدید را نمایش می دهد) ، تغییر دادن تنظیمات سیستم ، جلوگیری از به خواب رفتن گوشی ، دریافت برنامه های درحال اجرا ، فعال یا غیر فعال کردن سینک
11: ارتباطات شبکه ایی : پرداخت از طریق گوگل ، دریافت داده از اینترنت ، مشاهده کانکشن های اینترنت ، مشاهده شبکه های وای فای
12: ابزار های توسعه دهندگان : تست کردن اجازه دسترسی به روت! (که در صورت لزوم به برنامه اجازه دسترسی به روت را می دهد، البته بعد از گرفتن اجازه از super user)
13: حساب شما : یافتن اکانت این گوشی و خواندن تنظیمات حساب گوگل ( به برنامه این اجازه را می دهد که ببیند که این گوشی با چه حساب گوگلی فعال شده است و تنظیمات آن را بخواند)
14: کنترل سخت افزار : کنترل ویبره
15: ابزار های سیستمی : بستن سایر برنامه ها ! ، خواندن تنظیمات سینک ، اجرا در هنگام روشن شدن گوشی ، ارسال داده های برودکست ، و تنظیم والپیپر
با نصب وایبر که تقریبا اجازه کنترل تمام گوشی تلفن را از شما می گیرد ، حتما متوجه شده اید که چه ریسک بزرگی کرده اید و با در نظر گرفتن وابستگی وایبر به نهاد های دولتی رژیم صهیونیست ، و این نکته که هزینه های سرسام آور وایبر چگونه تامین می شوند ، مطمئنا خودتان می توانید به یک جمع بندی کلی برسید که وایبر دقیقا چه می کند!
البته موضوع این بحث بررسی اجازه ها یا پرمیشن هایی است که کاربران بی اطلاع از آنها در موقع نصب به اپلیکیشن می دهند و در نظر گرفتن این نکته که گوگل با اینکه ادعا می کند برنامه ها را چک می کند ولی هیچ مسئولیتی را در قبال این دسترسی را قبول نمی کند ، مخصوصا در مورد اپلیکیشن هایی که خارج از پلی استور دانلود و نصب شده باشند ، که این موضوع با توجه به استفاده وحشتناک کاربران ایرانی از مارکت های غیر گوگلی بسیار قابل توجه است و این موضوع وقتی مهم می شود که پرمیشن های یک مارکت ایرانی مانند "بازار" نیز بیش از حد لازم زیاد است
پرمیشن های بازار را ببینیم :
1: موقیعیت شما : دسترسی به موقعیت شما توسط شبکه ( موقعیت حدودی )
2: ارتباطات شبکه : دسترسی کامل به شبکه و پرداخت از طریق بازار
3: فضای ذخیره : ویرایش و حذف محتوای فضای حافظه تلفن
4: تماس های تلفن : خواندن وضعیت تلفن
5: سرویس هایی که برای شما هزینه در بر دارند : برقراری مستقیم تماس تلفنی !
6: ابزار های سیستمی : جلوگیری از به خواب رفتن دستگاه
7: ارتباط شبکه : دریافت اطلاعات از اینترنت و مشاهده وضعیت شبکه ها
8: ابزار های توسعه دهندگان : تست کردن اجازه دسترسی به روت! (که در صورت لزوم به برنامه اجازه دسترسی به روت را می دهد، البته بعد از گرفتن اجازه از super user)
9: حساب شما : یافتن اکانت این گوشی (اکانت گوگلی که این گوشی با آن فعال شده است )
10: کنترل سخت افزار : کنترل ویبره
11: ابزار های سیستمی : نصب شورتکات و اجرا در زمان روشن شده گوشی
البته اجازه های "بازار" تا حد زیادی معقول هستند ولی این ها با فرض اینکه توسعه دهنده از این اجازه ها استفاده بی مورد نمی کند صحیح اند کما اینکه هنوز متوجه نشدم چرا بازار باید بتواند تماس تلفنی برقرار کند!
امیدوارم از این مطلب نهایت استفاده را برده باشید و در موارد بعدی قبل از نصب اپلیکیشن ، به دسترسی های آن توجه کنید
این آموزش صرفا جهت افزایش آگاهی عموم است و شاهین سافت مسئولیت سوء استفاده از این روش را بر عهده نمی گیرد
قبلا هم در مورد هک کردن نرم افزار های تحت وب مطالبی را منتشر کرده بودیم که
آموزش هک کردن بازی کلش آف کلنز
از آن دسته است
چندی است که نرم افزاری تقلبی با عنوان Viber Hack در فضای مجازی منتشر شده است
اگر مطلب بالا یعنی آموزش هک Clash of Clans را بخوانید متوجه می شوید که هک کردن اپ های تحت وب تقریبا غیرممکن است
پس به هیچ عنوان به تبلیغات بی مورد مانند هک وایبر ، نفوذ به وایبر ، وایبر دوستان خود را هک کنید و ... اینطور تبلیغات توجهی نکنید
پس لطفا گول اینگونه اپ های تقلبی را نخورید و اصلا و اکیدا هیچگونه اطلاعات شخصی و محرمانه خود را در اختیار این برنامه قرار ندهید.
در حال حاضر تنها یک روش هک برای این نرم افزار وجود دارد که به آن نمی توان هک کردن گفت ، در واقع به نوعی مهندسی اجتماعی محسوب می شود و برخی افراد تازه کار که فکر می کنند هکر هستند ممکن است بخواهند با این روش به آزار دیگران بپرداند و هدف ما از قرار دادن این آموزش صرفا جنبه آگاهی رسانی به کاربران است تا فریب اینگونه به اصطلاح هکر ها را نخورند.
وایبر در بین سایر نرم افزار هم نوع خود دارای کمترین ضریب امنیت و اطمینان است و متخصصان حوزه امنیت ، تا به حال چندین مورد هشدار امنیتی در مورد این سیستم اعلام کرده اند
به عنوان نمونه این تست و اعلام نتیجه در مورد پیام رسان ها را ببینید :
این تست به پرسش های زیر در مورد هر پیام رسان پاسخ می دهد :
۱ – آیا پیام حین انتقال رمزگذاری میشود؟
۲ – آیا طراح و منتشر کننده نرم افزار قادر به خواند پیام ها هست؟
۳ – آیا مخاطبان قابل تایید هستند؟
۴ – اگر گذرواژه لو برود، آیا پیام های قبلی امن هستند؟
۵ – آیا کد نرم افزار Open Source بوده یا تنها در اختیار طراح آن است؟
۶ – آیا طراحی امنیتی نرم افزار مستند و قابل دسترس است؟
۷ – آیا کد نرم افزار اخیرا بازبینی امنیتی شده است؟
حالا از بحث اصلی منحرف نشویم به سراغ آموزش هک کردن این نرم افزار محبوب می رویم :
همانطور که می دانید وایبر این قابلیت را دارد که از یک حساب به صورت همزمان در تلفن هوشمند ، تبلت و pc استفاده کنید
روش کار بدین ترتیب است که شما ابتدا وایبر را در تلفن همزاه خود فعال کرده و سپس نرم افزار viber را در PC یا کامپیوتر شخصی خود نصب می کنید
نرم افزار پس از نصب از شما شماره تلفن همراهتان را که حساب وایبر خود را با آن فعال کرده اید می خواهد
سپس یک کد فعال سازی به تلفن همراه شما ارسال می کند و شما باید آن کد را در کامپیوتر خود وارد کنید
سپس حساب وایبر شما در کامپیوتر فعال شده و تمام مخاطبان شما ، پیام هایتان ، و سابقه (history) مکالمه های شما در کامپیوترتان نیز در دسترس است.
در روش ما ، شما پس از نصب نرم افزار در کامپیوتر خود ، به جای وارد کردن شماره تلفن خود ، شماره تلفن دوست خود را وارد می کنید ، طبق روال کار ، یک کد فعال سازی برای دوست شما ارسال می شود متن پیام شبیه زیر است
"
Code : 75325
"
در این مرحله شما باید یک پیام با شماره ایی ناشناس به دوست خود ارسال کنید و از او بخواهید که کد فعال سازی را برای شما ارسال کند به عنوان نمونه این پیام را برای او بفرستید :
"
As the Security Reasons Please Send the verification code to +989351260
"
که به جای +989351260 باید شماره تلفن خود را وارد کنید ( که البته وایبر آن فعال باشد )
خب ، البته اگر یکی از دوستان شما این پیام را ببیند و شماره تلفن ایرانسل یا همراه اول در آن نوشته شده باشد مطمئنا توجهی به آن نمی کند ! پس شما باید شماره ناشناسی را مثلا از کشوری مانند امریکا یا هر کشور دیگری برای او ارسال کنید ( احتمالا اسرائیل گزینه مناسبی است)
برای به دست آوردن این شماره تلفن ها دو راه دارید یا اینکه یکی از این شماره ها را تهییه کنید ( توسط دوستان خارج از کشور و یا خودتان) و یا اینکه از سایتهایی که چنین خدماتی ارائه می دهند استفاده کنید.
اگر به یاد داشته باشید زمانی سایتی مانند yahoo برای ثبت ایمیل جدید از کاربران خود شماره تلفن درخواست می کرد و تنها در صورت وارد کردن کد فعال سازی که به آن شماره ارسال می شد می توانستید ایمیل بسازید ، به روش مشابه سایتهایی مانند مایکروسافت و گوگل و .... نیز برای ثبت حساب کاربری جدید از شما شماره تلفن همراه درخواست می کردند. برای حل این معضل سایتهایی در اینترنت به وجود آمدند که به شما یک شماره تلفن می دادند که می توانستید آنرا در چنین سایتهایی هنگام ثبت نام وارد کنید و سپس کد فعال سازی را از این سایتها دریافت کنید و بعد هم دیگر با این شماره ها کاری ندارید.
به همین روش شما می توانید از این سایتها برای فعال سازی حساب وایبرتان استفاده کنید ، یعنی یکی از این شماره ها را هنگام ثبت نام در وایبر وارد کنید و سپس کد فعال سازی را از سایت مربوطه دریافت کنید ، حالا شما یک حساب وایبر به شماره تلفنی از خارج از کشور دارید!
نمونه ایی از این سایتها :
www.receivesmsonline.net
receive-sms.com
www.receive-sms-now.com
و... کافی است چرخی در گوگل بزنید تا صدها سایت مشابه بیابید
حالا می توانید با این شماره اقدام به فریب دادن دوستان خود کنید ، این روش اخیرا با توجه به اینکه وایبر برای کاربران خود پیغامی مبنی بر اینکه " لطفا نرم افزار خود را به روز رسانی کنید" ارسال می کند بسیار احتمال موفق شدن دارد.
پس فراموش نکنید که این مطلب تنها برای این بود که فریب این چنین روش ها را نخورده و اطلاعات شخصی خود را از دست ندهید ( حتی در برخی موارد ممکن است مورد آزار ، اذیت ، مزاحمت و سوء استفاده قرار بگیرید) علاوه بر اینها اگر شما با این روش هک شوید شماره تلفن تمام دوستان و آشنایان خود را نیز در اختیار بچه هکر ها قرار داده و علاوه بر اینکه ممکن است آنها نیز مورد این نوع حمله قرار گیرند ممکن است باعث مزاحمت آنها نیز بشوید.
به یاد داشته باشید که وایبر یا هر سیستم دیگری هیچگاه از شما نمی خواهد تا کد را برایشان مجددا ارسال فرمایید ، بلکه تنها از این کد باید در مراحل ثبت نام استفاده کنید پس فریب بچه هکر ها رو نخورده و حواستون رو جمع کنید :)
امیدواریم از این مطلب نهایت استفاده را برده باشید