🆕 #به‌روزرسانی #تلگرام ۱۲.۳ با چند روز تاخیر

مثل اینکه تغیرات ظاهری اعمال نشده در این آپدیت

توضیح تغیرات در این به‌روزرسانی، در نمای فوری پایین پست

🎛 لینک نصب به‌روزرسانی تمامی نسخه های تلگرام

◈ @TechUp

⚠️حمله Pixnapping یک تهدید واقعی برای کاربران اندروید است که می‌تواند کدهای احراز هویت دو مرحله‌ای را بدون هیچ مجوزی سرقت کند.

برای محافظت، گوشی خود را به‌روز نگه دارید و از نصب اپ‌های ناشناخته خودداری کنید.

درباره حمله Pixnapping را مرور می‌کنیم:
‏ ⚠️ Pixnapping چیست؟

نوعی حمله جانبی (Side-Channel) است که توسط محققان دانشگاه‌های UC Berkeley، UC San Diego، University of Washington و Carnegie Mellon معرفی شده است

این حمله از APIهای اندروید و ضعف‌های سخت‌افزاری GPU استفاده می‌کند تا بدون گرفتن اسکرین‌شات، رنگ و وضعیت پیکسل‌های نمایش داده‌شده توسط اپ‌هایی مثل Google Authenticator را حدس بزند
بدون نیاز به هیچ مجوزی، تنها با نصب یک اپ مخرب، می‌توان داده‌های حساس را در کمتر از ۳۰ ثانیه استخراج کرد

📲دستگاه‌های آسیب‌پذیر
حمله روی گوشی‌های Google Pixel نسل ۶ تا ۹ و Samsung Galaxy S25 با سیستم‌عامل اندروید ۱۳ تا ۱۶ اثبات شده است
اما پژوهشگران هشدار داده‌اند که این آسیب‌پذیری می‌تواند در بسیاری از مدل‌های دیگر نیز وجود داشته باشد، چون مکانیسم آن وابسته به ساختار عمومی اندروید است

🛡 واکنش گوگل
گوگل در سپتامبر ۲۰۲۵ یک پچ امنیتی جزئی منتشر کرده است که تنها بخشی از مشکل را کاهش می‌دهد
وصله کامل برای رفع این آسیب‌پذیری قرار است در دسامبر ۲۰۲۵ منتشر شود

🔓 توصیه‌های امنیتی برای کاربران

📌گوشی خود را به‌روز نگه دارید و آخرین وصله‌های امنیتی را نصب کنید
📌از نصب اپ‌های ناشناخته یا مشکوک خودداری کنید، حتی اگر از شما هیچ مجوزی نخواهند
📌اپ‌های احراز هویت را از منابع معتبر نصب کنید و در صورت امکان از روش‌های سخت‌افزاری یا فیزیکی برای احراز هویت استفاده کنید
احراز هویت دو مرحله‌ای را مطلقاً امن ندانید؛ این حمله نشان می‌دهد که حتی روش‌های امنیتی رایج می‌توانند با تکنیک‌های پیشرفته دور زده شوند

حالا وضع اونایی که کلا تایید دومرحله‌ای فعال نمیکنن و اپ‌های ناشناس و یا از منابع ناامن بارگیری و نصب میکنن ..🙁

#تایید_دومرحله‌ای #گوگل #هک
◈ @TechUp

🆕 چک کنید اگر گوگل‌پلی براتون دردسترس قرار گرفته برنامه ای برا نصب یا آپدیت دارید انجامش بدید ..

گواهی CA چیست و چگونه آن را در گوشی بررسی کنیم؟

گواهی CA (Certificate Authority) مرجع معتبری است که هویت واقعی وب‌سایت‌ها و ارتباطات امن اینترنتی را تأیید می‌کند و مبنای اعتماد HTTPS در گوشی شماست.

🔍 مسیر بررسی گواهی‌های نصب‌شده:

🤖 اندروید(سامسونگ)
تنظیمات گوشی » امنیت و حریم خصوصی » سایر تنظیمات امنیتی » گواهی کاربر

🍏 آیفون (iOS)
Settings → General → About → Certificate Trust Settings

⚠️ وجود گواهی‌های ناشناس یا نصب‌شده بدون اطلاع کاربر می‌تواند امنیت ارتباطات اینترنتی را به خطر بیندازد

بعضی VPNها و اپ‌ها با نصب گواهی امنیتی (CA) می‌تونن ترافیک اینترنت شما رو ببینن؛
حتی سایت‌هایی که 🔓 قفل سبز دارن!

#امنیت #گواهی
◈ @TechUp

📱 پیله کردن دوباره پاولو به امنیت واتساپ

🎉 پاول دوروف در پست جدید خود باز هم به امنیت واتساپ حمله کرد اما اینبار یک تصویر از مکالمه مارک زاکربرگ (مالک واتساپ) منتشر کرد که نشان میدهد امنیت کاربران کاملا بازیچه دست مارک زاکربرگ است.

پاول دوروف نوشت:
تنها چیزی که از زمان این مکالمه تغییر کرده، مقیاس آن است. امروز، مالک واتس‌اپ در خلوت خود نه به ۴ هزار نفر، بلکه به ۴ میلیارد «احمق» که به ادعاهای او (مانند رمزگذاری واتس‌اپ) اعتماد دارند، می‌خندد.

در این مکالمه قدیمی، نشان میدهد مارک زاکربرگ اطلاعات ۴ هزار نفر از افراد هاروارد شامل ایمیل، عکس، آدرس را دارد و دلیل داشتن آن را احمق بودن این افراد تلقی می‌کند.

✍️ وقتی خود تلگرام به نسخه‌های غیررسمی تلگرام، اجازه دسترسی به سِرورش میده، این یعنی رمزگذاری ۶لایه و لو نرفتن اطلاعات، کشک
end to غیررسمی to end😄
«حالا مخاطب من تلگرام غیررسمی داره و من نمیدونم🫠»
یکی نیست به این پاولو بگه، دیگه از این سوارخ سبزک درا و بچسب به موشکت، اون خوب نیست بدون پریمیوم، تو خوبی با پریمیوم😁
یاد دعوای موش و گربه‌ایه سامسونگ با اپل میفته آدم:
سامسونگ میگه هِررهِرر کِررکِرر اپل شارژر حذف کرد با ادعای کمک به طبیعت، بعد خودش از جعبه حذفش می‌کنه 😏

◈ @TechUp

⚠️ مهاجمان در واتس‌اپ یا تلگرام فایلی را برای شما می‌فرستند که ادعا می‌شود یک «سند مهم»، «گزارش» یا «فرم» است. ظاهر فایل شبیه PDF است اما در واقعیت یک برنامه اندرویدی (APK) مخرب است و به محض باز کردن فایل، یک بدافزار روی گوشی شما نصب می‌شود.

📲 بعد از نصب چه می‌شود؟ در اولین گام، بدافزار آیکون خود را مخفی می‌کند تا متوجه حضورش نشوید. سپس در پس‌زمینه شروع به فعالیت می‌کند و اطلاعات دستگاه، محیط اطراف و پیامک‌ها، لیست اپلیکیشن‌ها و فعالیت شبکه شما را سرقت می‌کند.

🛡 چه باید کرد؟
فایل‌های PDF، فایل نصبی نیستند. اگر فایل PDF یا هر فایل متنی دیگر را باز کردید و از شما اجازه نصب خواست، بلافاصله آن را ببندید و حذف کنید؛ حتی اگر از طرف نزدیکان شما فرستاده شده باشد. در مرحله بعد، لیست اپلیکیشن‌های نصب‌شده (Settings > Apps) را چک کنید. هر برنامه‌ای که نمی‌شناسید یا آیکون عجیب دارد را فورا حذف کنید.

✅ دسترسی‌های غیرضروری (به‌ویژه دسترسی به پیامک، مخاطبین، دوربین، میکروفون و تغییرات باتری) را برای اپ‌های ناشناس ببندید و حتما سیستم‌عامل و برنامه‌های خود را به آخرین نسخه به‌روزرسانی کنید و گوشی خود را با یک #آنتی‌ویروس امن و شناخته شده اسکن کنید. همچنین گوشی خود را خاموش و روشن کنید. خاموش و روشن کردن، عملکرد برخی از بدافزارها را مختل می‌کند

#بدافزار #امنیت
◈ @TechUp

🆕#به‌روزرسانی #تلگرام
Telegram 12.4

تغیرات ظاهری توی این نسخه خودنمایی می‌کنه!
تنظیمات بازطراحی شده با گوشه‌های گِرد
• نوار عملیات جدید و از بخش کناری به پایین منتقل شده
• طراحی جدید پوشه‌ها
• منوی پیوست بازطراحی شده
• پنجره پاپ‌آپ پراکسی بازطراحی شده (وقتی روی لینک یه پروکسی میزنید)

برای جابجایی بین اکانت‌ها روی پروفایل انگشت نگه دارین یا برید تنظیمات

برای رفتن به پروکسی ها و تغییر حالا شب و روز از صفحه اصلی سه نقطه بالا رو بزنید

📎 لینک نصب به‌روزرسانی تمامی نسخه‌های تلگرام

◈ @TechUp

👻 توی آپدیت اخیر تلگرام ویژگی استوری برای شماره های ایرانی هم باز شده و روزی یه دونه استوری میشه گذاشت..

کاربرانی که پیش‌تر پریمیوم داشتن و الان ندارن نمیتونن استوری بذارن! مشخص نیست این یه باگ هست یا محدودیتی که باید برطرف بشه..

نکات مهم برای حفظ حریم‌خصوصی:

1️⃣ تنظیمات پیش‌فرض می‌توانند خطرناک باشند

برخی کاربران پس از انتشار استوری متوجه شده‌اند افرادی خارج از دایره مخاطبانشان آن را دیده‌اند. دلیل این موضوع ساده است: تنظیمات پیش‌فرض تلگرام، استوری را برای «همه» (Everyone) نمایش می‌دهد.

اگر این تنظیم تغییر نکند، عملا محتوای شما در اختیار افراد ناشناس یا ناخواسته قرار می‌گیرد. راه امن‌تر، محدود کردن نمایش استوری به «My Contacts» یا «Close Friends» است.
برتری تلگرام نسبت به اینستاگرام در این است که حتی بعد از انتشار استوری هم می‌توان وارد تنظیمات همان استوری شد و لیست بینندگان را اصلاح کرد.

2️⃣ لیست سیاه را جدی بگیرید

انتخاب «مخاطبین من» به‌تنهایی کافی نیست. تلگرام این امکان را می‌دهد که حتی در این حالت نیز، فهرستی از افراد مشخص را از دیدن استوری محروم کنید.
این قابلیت برای حذف همکاران، آشنایان دور یا افرادی که ترجیح می‌دهید به محتوای شخصی شما دسترسی نداشته باشند، کاربردی است. بی‌توجهی به این بخش می‌تواند باعث دیده‌شدن استوری توسط کسانی شود که انتظارش را ندارید.

3️⃣ جلوگیری از اسکرین‌شات، یک لایه امنیتی اضافه

تلگرام گزینه‌ای در اختیار کاربران قرار داده که با غیرفعال‌کردن Allow Screenshots، امکان گرفتن اسکرین‌شات یا ضبط صفحه از استوری را برای دیگران محدود می‌کند.
این گزینه تضمین مطلق نیست، اما یک لایه بازدارنده مهم محسوب می‌شود و فعال‌بودن آن می‌تواند تا حد زیادی از ذخیره یا بازنشر ناخواسته محتوا جلوگیری کند.

#استوری #تلگرام
◈ @TechUp

❓ چرا دیگه نمیتونم تو تلگرام استوری بذارم؟!

🙂 کاربران عادی فقط مجاز به گذاشتن 1 استوری در روز هستن و این محدودیت در هفته به 3 استوری و در هر ماه به 10 استوری میرسه.

🙂 یعنی اگه شما 3 روز پشت سرهم استوری بذارید، روز چهارم امکان گذاشتن استوری ندارید و باید صبر کنید تا یک هفته تموم بشه!

#استوری #تلگرام
◈ @TechUp

📌یکی از ویژگی‌های جذاب که در آپدیت اخیر تلگرام اضافه شده اینه که، وقتی صاحب یک گروه، گروهش رو ترک میکنه، پیامی به اون نمایش داده میشه و در اون می‌تونه صاحب جدید گروه رو از بین ادمین ها انتخاب کنه...

🙂 در صورتی که بدون انتخاب مالک جدید گروه رو ترک کنه، تلگرام بعد از یک هفته به طور خودکار مالکیت گروه رو به یکی از ادمین‌ها منتقل میکنه ؛ ادمینی که بیشترین و بالاترین دسترسی رو داره

پیش تر فقط در صورت حذف اکانت سازنده، مدیریت رو به ادمین با دسترسی کامل منتقل می‌کرد

🎛 تغییر مالکیت گروه/کانال در تلگرام
#تلگرام #مالکیت
◈ @TechUp

⚡️قابل توجه کاربرانی که از کانال/گروه و دیگر کاربران، فروشگاه و سایت های داخلی و.. فایل می‌گیرن نصب می‌کنن،.. ازجمله بازی و فیلتر شکن و...

به‌گزارش محققان شرکت iVerify در تلگرام از یک‌هفته قبل، یک بدافزار جاسوسی پیشرفته‌ی موبایل با نام ZeroDayRAT برای فروش، تبلیغ می‌شود که کنترل کامل از راه دور دستگاه‌های آلوده اندروید و iOS را فراهم می‌کند.

این بدافزار نه تنها داده‌ها را می‌دزدد، بلکه نظارت و سرقت مالی را نیز امکان‌پذیر می‌سازد. بدافزار از اندروید ۵ تا ۱۶ و iOS تا نسخه ۲۶ پشتیبانی می‌کند و پنل مدیریتی کاملی برای کنترل دستگاه‌های آلوده ارائه می‌دهد.
قابلیت‌های ZeroDayRAT شامل ثبت فعالیت برنامه‌ها، پیام‌های SMS، ردیابی ، فعال‌سازی دوربین و میکروفون، ضبط صفحه نمایش و ثبت کیبورد است. این بدافزار می‌تواند رمزهای یکبار مصرف (OTP) را برای دور زدن احراز هویت دومرحله‌ای سرقت کند و دارای ماژول‌های سرقت ارزهای دیجیتال و بانکی است که کیف‌پول‌های متامسک، تراست والت، بایننس و کوین‌بیس را هدف قرار می‌دهد و آدرس‌های کپی‌شده را با آدرس‌های مهاجم جایگزین می‌کند.

محققان توصیه می‌کنند اپلیکیشن‌های موردنیازتان را فقط از فروشگاه‌های رسمی نصب کنید

⚡️ حملات فیشینگ با سوءاستفاده از دعوت‌نامه‌ها در برنامه‌هایی مانند زوم و تیمز

مهاجمان با ارسال دعوت‌نامه‌های جعلی برای جلسات آنلاین کاربران را به دانلود به‌روزرسانی‌های تقلبی وادار می‌کنند و کنترل کامل سیستم آنها را در اختیار می‌گیرند.

روش حمله به این صورت است که کاربر یک لینک دعوت‌نامه یا لینک بروزرسانی برنامه هایی مثل زوم Zoom  و تیمزMicrosoft (Teams) (برنامه تیمز به تازگی جایگزین اسکایپ شده است) دریافت می‌کند، با کلیک روی لینک یا نصب فایل پیشنهادی، بدافزار روی سیستم فعال می‌شود یا کاربر به صفحه‌ای جعلی هدایت می‌شود تا نام کاربری و گذرواژه خود را وارد کند.

در صورت کلیک روی لینک یا نصب بدافزار، این اتفاقات میافتد:

سرقت ایمیل و رمز عبور

دسترسی مهاجم به حساب‌های کاری و شخصی

کنترل از راه دور سیستم

نفوذ به شبکه سازمانی و آلوده شدن سایر همکاران

برخی گزارش‌ها نشان می‌دهد در مواردی حتی بدون نصب فایل، فقط با تأیید یک دسترسی جعلی، مهاجمان توانسته‌اند به حساب‌های کاری دسترسی دائمی پیدا کنند.

مواردی که حتما باید رعایت کنید:
به هر دعوت‌نامه جلسه‌ای اعتماد نکنید؛ اگر شک دارید، از فرستنده مستقیماً سؤال کنید.

✔ هیچ به‌روزرسانی Zoom یا Teams را از طریق لینک ایمیل نصب نکنید.

✔ پیش از کلیک، آدرس لینک را با دقت بررسی کنید.

✔ احراز هویت چندمرحله‌ای را برای ایمیل و حساب‌های کاری فعال کنید.

✔ فایل‌های پیوست ناشناس را باز نکنید، حتی اگر ظاهرشان رسمی است.

#امنیت #فیشینگ
◈ @TechUp