به این مقاله امتیاز دهید!
ضعیفمتوسطخوبخیلی خوبعالی (2 رای ها, میانگین: 3.00 از 5)
Loading...

بررسی تخصصی فالوئر بگیر اینستاگرام !

تهیه و تنظیم:محمد مهدی

با سلام خدمت کاربران محترم در این مقاله ما سعی در بررسی برنامه ای از یک گروه اپلیکیشن ساز اندرویدی ایرانی را داریم که صاحب یکی از پرکاربر ترین برنامه ها در حوضه مدیریت پیج های اینستاگرام است، نام این گروه اندرومدا بوده و امتیاز توسعه 5 برنامه را در اپ استور کافه بازار به خود اختصاص داده همانطور که در لینک مشخص هست اپلیکیشن های:

را یک سازنده توسعه داده که ما در این مقاله به سراغ اپلیکیشن فالوئر بگیر اینستاگرام رفتیم که بالای 200 هزار نصب فعال دارد، خوب نحوه کار این برنامه طبق گفته خود سازنده ها بدین شکل است که اطلاعات کاربران به شما نمایش داده می‌شود و چنانچه شما دوست داشته باشید با فالو کردن آنها سکه بدست میارید و با استفاده از همون سکه‌ها شما هم می‌توانید پروفایلتونو به معرض نمایش بگذارید و درخواست فالوور بدید.

ما اومدیم برنامه رو نصب کردیم و مشخصات اکانتمون رو وارد کردیم و بعد از چندین عملیات فالو که سقف فالوینگ هامون به 7.500 رسید برنامه رو حذف کردیم و اکانت خودمون رو از سرورهای اون برنامه لاگ اوت کردیم. بعد با استفاده از برنامه هایی که آنفالو انجام میدند اقدام به آنفالو کردن تمامی اون فالور ها کردیم با این هدف که تعداد سکه هایمان را بالا ببریم و ببینیم برنامه چگونه میتواند متوجه تقلب ما شود.خوب بعد از اتمام مراحل مجدد وارد برنامه شدیم و تعداد سکه هایمان 0 شده بود! خوب مشخص شد که برنامه فریب نخورده و گویی یک نفر به آن گزارش داده که ما فالوینگ هایی که انجام دادیم و درقبالش سکه دریافت کردیم رو رفتیم آنفالو کردیم بخاطر همین شروع به پیگیری کردم تا ببینم این تشخیص برنامه از چه طریقی انجام شده طبق تحقیقاتی که داشتم اینستاگرام برای برنامه نویسان API های متعددی را نوشته است تا آن ها را از نوشتن کد های مختلف و متعدد بی نیاز سازد.از جمله این API ها،API مربوط به بررسی فالووینگ ها هست.این مورد به برنامه نویسان امکان می دهد که بررسی کنند که آیا شما کسی را فالو کرده اید یا خیر!؟ خب پس قضیه تا حدودی مشخص شد.برنامه “فالوئر بگیر اینستاگرام” از این API ها برای بررسی این که شما کاربری را فالو کرده اید یا خیر استفاده می کند و به این ترتیب سکه ها را در صورت این که کاربر را آنفالو کرده باشید از شما کسر می کند.اما صبر کنید!!! ما برنامه رو از روی دیوایس اندرویدی حذف و ازآن خارج شدیم و اینترنت هم به آن دیوایس ندادیم پس چگونه برنامه بدون دسترسی به اینترنت در حالی که حتی از روی گوشی پاک شده است می تواند سکه های ما را کم کند؟

بیایید به بخش دیگری از مسئله نگاه کنیم.سکه های ما در برنامه به صورت آفلاین (یعنی بدون نیاز به اینترنت) ذخیره نمی شود بلکه سکه ها از سرور برنامه دریافت می شوند.همچنین هر وقت کسی را فالو کنیم یک WebRequest به سرور ارسال می شود که “سکه های کاربر را زیاد کن!”.سرور هم این کار را می کند و شما یک سکه بیشتر خواهید داشت.حالا که متوجه شدیم سکه ها در سرور ذخیره شده اند و تغییرات سکه ها در سرور برنامه رخ می دهد،این سوال اساسی رخ می دهد که وقتی برنامه حذف شده است،چه چیزی با سرور ارتباط برقرار می کند و دستور کم شدن سکه را ارسال می کند؟


خب همین جرقه کوچکی بود در ذهن من تا مجبور شوم برنامه را از لحاظ امنیتی کمی بررسی کنم.در سورس برنامه خبری از API های بررسی فالو کردن نیست!! قضیه پیچیده تر از قبل شد.حالا می دانیم که حتی اگر برنامه حذف هم نشود،دستور کاهش سکه در صورت آنفالو کردن رخ می دهد چرا که این برنامه نیست که توانایی تشخیص آنفالو کردن را دارد بلکه خود سرور است!!! مجددا تکرار می کنم خود برنامه هیچ ابزاری برای تشخیص فالو یا آنفالو ندارد.پس نتیجه می گیریم که این ابزار باید در سرور برنامه قرار گرفته باشد.به همین دلیل است که حتی وقتی برنامه را حذف می کنیم،فرایند کم شدن سکه ها در صورت آنفالو کردن رخ می دهد.چرا که اصلا سرور نیازی به نصب بودن برنامه ندارد.خودش همه کار ها را می کند.

متوجه آنفالو می شود و سکه شما را نیز بدون آن که متوجه شوید می تواند کاهش دهد.
باید مطلب دیگری را در اینجا برایتان شرح دهم.ابزار ها و API هایی که اینستاگرام در اختیار برنامه نویسان قرار می دهد،نیاز به کوکی (کوکی چیست) دارند.حتی API مربوط به بررسی فالو یا آنفالو نیز به کوکی اکانت مورد نظر نیاز دارد.فرض کنید قصد داریم بررسی کنیم که اکانت Example کاربری با نام Example2 را آنفالو کرده است یا خیر؟برای این کار به کوکی اکانت Example نیاز داریم تا ابزار مربوط به این فرانید بتواند کار خودش را بکند.کوکی های اینستاگرام پس از ورود به حساب های کاربری اینستاگرام ایجاد می شوند و تا لحظه ای که شما از اینستاگرام خارج نشوید( Sign Out) این کوکی ها فعال و معتبر هستند.بنابراین باید با اکانت Example یک ورود به اینستاگرام انجام دهیم و سپس کوکی هدف را که پس از این ورود ایجاد می شود،استخراج کنیم و در API مورد نظر به کار ببندیم.کاملا روشن است که اگر اکانت Example از اینستاگرام Sign Out نکند یا رمز اکانت آن تغییر نکند،کوکی آن برای مدتی فعال باقی می ماند و قادر خواهیم بود چند بار دیگر از آن استفاده کنیم.طی بررسی هایی که کردم تاریخ انقضای هر کوکی اینستاگرام چیزی حدود 2 تا 3 سال هست و این یعنی اگر مورد خاصی رخ ندهد تا 3 سال آینده می توانیم از کوکی که بدست آوردیم برای اعمال مختلفی استفاده کنیم مثلا می توانیم با API هایی که اینستاگرام توسعه داده است،کاربرانی را فالو کنیم،لایک کنیم یا برای آن ها کامنت ثبت کنیم.
بسیار خوب،متوجه شدیم که سرور فرایند تشخیص آنفالو را بدون نیاز به نصب بودن برنامه فالووربگیر انجام می دهد و سکه های شما را کاهش می دهد.این تشخیص به کمک API های اینستاگرام رخ می دهد.در ادامه متوجه شدیم که این API ها نیاز به کوکی اکانت اینستاگرام دارند.کاملا واضح است که سرور بدون داشتن این کوکی ها نمی تواند کاری از پیش ببرد.پس به نحوی که هنوز برایم روشن نشده است،سرور توانسته است کوکی اکانت من را استخراج کند و از آن استفاده کند.چیزی که بسیار جالب است این می باشد که سازندگان برنامه مدعی هستند که به رمز عبور اکانت کاربرانشان دسترسی ندارند و حریم شخصی کسانی که از اپ های این گروه برنامه نویسی استفاده می کنند،کاملا امن بوده و هیچ جای نگرانی نیست.اما آیا واقعا این طور است؟
تا اینجا به این نتیجه منطقی رسیدیم که برنامه در حال دریافت کوکی اکانت های ما می باشد و آن ها را در جهت اهدافی استفاده می کند.بیایید بررسی کنیم که برنامه چطور کوکی اکانت ما را برای سرور ارسال می کند.در ادامه ما تصمیم به Sniff داده های برنامه کامنت بگیر گرفتیم.توجه داشته باشید که توسعه دهنده هر دو اپ یکسان است و دقیقا هر چیزی که در ادامه برای کامنت بگیر توضیح می دهیم برای فالووربگیر و حتی لایک بگیر نیز صدق می کند.
بسیار خوب بیایید شروع کنیم.برنامه “کامنت بگیر” را روی گوشی اندرویدی خودم نصب کردم و برای شنود داده های رد و بدل شده از اپلیکیشن Pocket Capture استفاده نمودم.
خیلی سریع پس از ورود به برنامه یک داده بین برنامه و سرور رد و بدل می شود که قطعا این چیزی نیست که من دنبال آن باشم.دلیلش هم مشخص است هنوز ورودی به اکانت اینستاگرام رخ نداد است.پس هنوز کوکی درست نشده است که برنامه بخواهد به سرور بفرستد.پس من داده های رد و بدل شده بین برنامه و سرور را تا لحظه پس از ورود به اکانت اینستاگرام بیخیال می شوم.

بلافاصله پس از ورود موفقیت آمیز به اکانت اینستاگرام،وب رکوئست زیر که مشاهده می فرمایید به سرور ارسال شد:

خب این که اصلا شبیه کوکی اینستاگرام من نیست.ولی صبر کنید.داده ی ارسال شده به سرور از سه قسمت تشکیل شده است:

در هر قسمت پس از علامت = یک عبارت قرار گرفته است که به طور واضحی مشخص است که با روش کد گذاری Base64 انکود شده است و دیکد کردن آن کار چندان سختی نیست. پس از دیکد کردن بخش اول به این نتیجه می رسیم:

طبق تصویر بالا واضح است که برنامه در حال ارسال کوکی ما به صورت انکود شده از نوع Base64 به سرور می باشد که رمزگشایی آن کار چندان سختی نیست و باید گفت که این عملا یک سرقت آشکار اکانت کاربران هست، چرا که می توان با کوکی ذخیره شده در سرور تا چندین سال هر کاری کرد.حتی می توان وارد اکانت شد و دایرکت ها را خواند یا کسانی را بدون متوجه شدن صاحب اکانت فالو کرد و یا مشخصات پیج رو تغییر داد و یا آنرا حذف کرد و تمام دسترسی هایی که میتوان با داشتن پسورد اکانت انجام داد را میتوانند انجام دهند

همه این ها با داشتن کوکی اکانت ممکن است و با توجه به تعداد نصب های این برنامه در کافه بازار می توان به راحتی گفت که این اپ توانسته است با ایجاد اعتماد در کاربران،بیش از 200 هزار کاربر اینستاگرام را بدون آن که متوجه شوند اطلاعات اکانتشان را ذخیره کند در ابتدای ورود به برنامه نوشته می شود که ما به رمز عبور شما دسترسی نداریم.این یک دروغ نیست بلکه عین حقیقت است اما باید بدانید که آن ها به چیزی خطرناک تر از رمز عبور به نام کوکی اکانت شما دسترسی دارند و تا زمانی که شما از اکانت خود خارج نشوید و ورود مجدد انجام ندهید یا پسورد خودرا تغییر ندهید اطلاعات شما نزد این گروه نگهداری میشود جای سوال است که چرا این مورد را به کاربران هشدار نمیدهند یا حداقل با نوعی دیگر از روش های کد گذاری اطلاعات کوکی هارو رمزنگاری کنند شما فرض کنید یک هکر بتواند از طریق حملات مردمیانی بین تبادل اطلاعات سرور و کلاین های این برنامه قرار بگیرد!؟ چه خواهد شد؟ فاجعه ای که نمیتوان به این سادگی آنرا جمع کرد بله افشای بیش از 200هزار اکانت اینستاگرام که شامل افراد معمولی تا بیزینس گران و سلبریتی ها خواهد بود. امیدواریم در آینده نزدیک شاهد چنین ضعف هایی در اپلیکیشن های کوچک نیز حتی نباشیم چه برسه اپلیکیشن های بزرگی همچون اپلیکیشن بررسی شده از گروه اندرومدا.

ارتباط با نویسنده مقاله:

انتقادات نظرات و پیشنهادات خودرا درباره این مقاله برای من با کلیک روی اینجا به صندوق پستی موجود در سایت ارسال کنید در سریعترین زمان پاسخ خواهم داد.
اشتراک گذاری
لینک کوتاه این مطلب: https://cs-team.ir/?p=257

One thought on “بررسی تخصصی فالوئر بگیر اینستاگرام !

ثبت دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

78 − 76 =

آخرین محصولات

با خرید اشتراک ویژه میتوانید به مطالب مهم در بخش Diamond انجمن که به صورت خصوصی هستند دسترسی داشته باشید

۶۰,۰۰۰ تومان

ربات اینستاگرام نینجاگرام NinjaGram بهترین و پرطرفدار ترین ربات شبکه اینستاگرام برای راحتی در امور مدیریت صفحات شخصی

۳۰,۰۰۰ تومان

مدیریت هزاران اکانت اینستاگرام برای شرکت ها با برنامه InstaDub کاری از شرکت Rootjazz

۴۵,۰۰۰ تومان

بزرگترین برنامه مدیریت شبکه های اجتماعی اینستاگرام،فیسبوک،توییتر...

۵۵,۰۰۰ تومان

افزایش و فروش فالور و لایک و کامنت در شبکه اجتماعی توییتر Twitter با برنامه TwitterDub مناسب گردانندگان پیج ها

۴۲,۰۰۰ تومان

محبوبیت خود را در شبکه اشتراک گذاری موسیقی جهانی Soundcloud افزایش دهید و مخاطب های بیشتری به خود جذب کنید!

۵۷,۰۰۰ تومان