Уязвимость в Telegram использовалась для многоцелевых атак и майнинга

Все сообщения хранятся в трудночитаемой, но не зашифрованной базе данных.

В закладки

Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.

Среди данных Сачи также нашёл имена и номера телефонов участников переписок, которые можно сопоставить. Студент утверждает, что также проверил «секретные чаты», работающие по принципу end-to-end-шифрования и выяснил, что эти сообщения тоже хранятся в открытом виде.

Как именно он проверил «секретные чаты» — не поясняется: в Telegram Desktop такой функции нет. Судя по скриншотам Сачи, он пользовался отдельной версией мессенджера для macOS, но позже студент уточнил, что проблема касается и полноценного Telegram Desktop для Windows.

Основатель мессенджера Павел Дуров не согласился с выводами Сачи. В своём Telegram-канале он отметил, что подобные вещи нельзя считать уязвимостью.

C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: «Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения».

В Твиттере многие отреагировали на находку Сачи похожим образом. В комментариях отметили, что если злоумышленники получили доступ к компьютеру — шифрование не имеет смысла, ведь ключи хранятся на том же диске.

31 окт 2018
@nathanielrsuchy @telegram If someone has access to your desktop it doesn’t matter are your chats encrypted or not… https://t.co/uPbexBNU5R
«Если у кого-то есть доступ к твоему компьютеру, то уже неважно, зашифрованы твои чаты или нет, потому что ключ расшифровки хранится на твоём устройстве или требуется каждый раз для доступа к ним [сообщениям]»
31 окт 2018
@nathanielrsuchy @telegram This doesn’t seem like a bug to me, it requires file system access so you can read the s… https://t.co/aSEEIVnR3H
«Мне это не кажется багом, потому что для чтения баз данных SQLite требуется доступ к файловой системе, Skype работает точно так же. Шифрование работает при передаче по сети, а не на твоём локальном компьютере. Если ты не можешь защитить свой компьютер — [шифрование] будет последней проблемой»

Похожую «уязвимость» находили и в других мессенджерах. Например, 22 октября её обнаружил в Signal французский хакер Мэтт Суиче (Matt Suiche). Он также рассказал, что в десктопной версии сообщения хранятся в открытом виде.

В ответ на это коммьюнити-менеджер Signal Джошуа Лунд (Joshua Lund) заявил, что локальное шифрование — это не то, чего компания хочет добиться в десктопной версии приложения. Как отметили в издании Bleeping Computer, такой аргумент справедлив и для Telegram: оба мессенджера ориентированы на то, чтобы сообщения не могли прослушать по пути от одного пользователя к другому — и справляются с этим.

В своём заявлении Дуров также раскритиковал российские СМИ, которые начали распространять новость о «несуществующей уязвимости» в Telegram. Он пояснил, что доступ к устройству «очевидно» позволяет злоумышленнику читать сообщения, но «завуалированное описание» может запутать человека, далёкого от технологий.

Дуров напомнил о похожем случае трёхлетней давности, когда в Telegram получили письмо, где сообщалось, что если злоумышленник получит root-доступ к Android-смартфону пользователя, то сообщения мессенджера станут небезопасными. Основатель Telegram тогда объяснил, что если каким-то образом к устройству получили root-доступ, то уже «нет смысла» обсуждать какой-либо уровень безопасности — хакер и так стал «богом» смартфона и может делать всё что угодно.

На новость об обнаружении «уязвимости» в Telegram обратили внимание российские СМИ — «Российская газета», «Код Дурова», «iGuides», «РИА», «Известия», «Телеканал 360», «Life», «Лента.ру». В большинстве изданий рассказали о находке Сачи как об опасной уязвимости. Только часть СМИ позже добавила комментарий Дурова или выпустила его отдельной заметкой. Кроме того, многие СМИ назвали Сачи «экспертом» или «исследователем», хотя он поступил на первый курс колледжа только в августе 2018 года.

Натаниэль Сачи. Фотография с личной страницы на Фейсбуке

Как некоторые российские СМИ написали новость о незашифрованных чатах в Telegram Desktop

  • «Опасная уязвимость в популярном мессенджере позволила читать переписки» — «Лента.ру», без комментария Дурова;
  • «Всё ещё сидите в Telegram? Готовьтесь к неприятностям» — «Российская газета», без комментария Дурова;
  • «Исследователь: десктопная версия Telegram имеет „серьёзную уязвимость“» — «Код Дурова», с комментарием Дурова;
  • «Найдена позволяющая читать переписки в Telegram уязвимость» — «Известия», без комментария Дурова;
  • «Telegram хранит переписку в незашифрованном виде. Павел Дуров: так и должно быть» — iGuides, с комментарием Дурова;
  • «Telegram хранил переписку пользователей в открытом доступе» — «Телеканал 360», без комментария Дурова, но с опровержением;
  • «В Telegram нашли уязвимость, позволяющую читать переписку» — «РИА Новости», без комментария Дурова;
  • «Эксперт: Telegram на самом деле не шифрует сообщения» — Life.ru, без комментария Дурова, но с опровержением.

#технологии#telegram#дуров#мессенджеры

Рекомендуем почитать:

Xakep #245. Нейросети

Специалист «Лаборатории Касперского» Алексей Фирш опубликовал подробный доклад об уязвимости, обнаруженной в Windows-клиенте для Telegram. Исследователь пишет, что проблема была обнаружена еще в октябре 2017 года, и ее эксплуатировали для многоцелевых атак против российских пользователей. Согласно отчету, баг заключался в использовании классической атаки right-to-left override при отправке файлов собеседнику.

Данная техника атак далеко не нова, ее «история» насчитывает добрый десяток лет. Так, специальный непечатный символ right-to-left override (RLO) служит для изменения порядка следующих за ним в строке знаков на обратный, в таблице Unicode он представлен как ‘U+202E’. Легитимной областью использования RLO, в частности, является набор текста на арабском языке. RLO-атака подразумевает использование символа с целью введения жертвы в заблуждение, чаще всего, при отображении имени и расширения исполняемого файла: уязвимое к этой атаке ПО отображает имя частично или полностью в перевернутом виде.

Фирш рассказывает, что в Telegram эксплуатация бага выглядела следующим образом:

  • Атакующий отправляет жертве сообщение, но вместо JS-файла получатель видит такую PNG-картинку:

При открытии этого файла появится стандартное уведомление безопасности Windows, но только в том случае, если соответствующая опция не была отключена в системных настройках. После подтверждения от пользователя, вредоносный файл будет запущен.

Специалисты «Лаборатории Касперского» выявили сразу несколько сценариев реальной эксплуатации бага. Так, атака использовалась для получения контроля над системой жертвы путем изучения окружения и установки дополнительных модулей. На первой стадии такой атаки жертве отправляли загрузчик, написанный на .Net и использующий Telegram API в качестве командного протокола. То есть для управления использовался Telegram-бот, причем команды были реализованы на русском языке.

Перечень доступных команд показывает, что бот мог скрытно разворачивать на целевой системе произвольные бэкдоры, логгеры и другое вредоносное ПО. В таблице ниже перечислен полный список команд.

Команда Функция
«Онлайн Отправить управляющему боту список файлов из своей директории.
«Запус Запустить исполняемый файл через Process.Start().
«Логгер Проверяет, запущен ли процесс tor, скачивает logg.zip, распаковывает, удаляет сам архив и запускает содержимое.
«Скачать Скачать файл в свою директорию.
«Удалить Удалить файл из своей директории.
«Распаковать Распаковать архив с указанным паролем из своей директории.
убить Остановить указанный процесс через process.Kill()
скачат То же, что «»Скачать», отличается только парсинг команды.
запуск То же, что «»Запус», отличается только парсинг команды.
удалить То же, что «»Удалить», отличается только парсинг команды.
распаковать То же, что «»Распаковать», отличается только парсинг команды.
процессы Отправить управляющему боту список запущенных на ПК процессов.

Кроме того на устройства пострадавших пользователей устанавливали криптовалютные майнеры. На первой стадии атаки использовался SFX-архив со сценарием, запускающим содержащийся в нем исполняемый файл run.exe. Этот файл на самом деле являлся BAT-файлом. После извлечения самого batch-скрипта он выглядел следующим образом:

Первым делом вредонос открывал файл-приманку, который в рассматриваемом случае являлся картинкой, необходимой для усыпления бдительности жертвы. Далее поочередно стартовали майнеры, причем они запускались как сервисы, с помощью утилиты nssm.exe, упакованной в тот же SFX-архив.

Так, nheq.exe запускал Equihash-майнер для NiceHash (добывал криптовалюту Zcash), способный задействовать ресурсы ЦП и графического ускорителя. В свою очередь, taskmgn.exe — это еще один широко известный майнер, работающий по алгоритму CryptoNight, который майнил криптовалюты Fantomcoin и Monero.

Эксперты обнаружили и другие вариаций данного batch-скрипта, некоторые из которых обладали дополнительными возможностями. К примеру, могли отключаеть защитные системы Windows, а после этого авторизоваться на FTP-сервере злоумышленников, скачивать и запускать полезную нагрузку. Последняя представляла собой SFX-архив, начиненный новыми майнерами и клиентом Remote Manipulator System — аналогом TeamViewer. Используя скрипты AutoIt, малварь разворачивала на атакуемой системе RMS для последующего удаленного доступа.

Еще один сценарий атаки (см. схему выше), как и в предыдущем случае, начинался с SFX-архива, который при открытии запускал содержащийся внутри VBS-скрипт. Его основная задача так же заключалась в открытии картинки для отвлечения внимания жертвы, а затем он скачивал и запускал полезную нагрузку: SFX-архив со следующим сценарием.

Скрипт svchost.vbs контролировал запуск майнера CryptoNight (csrs.exe), следил за списком процессов и при обнаружении среди них диспетчера задач (taskmgr.exe, processhacker.exe) завершал процесс майнера с последующим перезапуском (после того как диспетчер будет закрыт). Адрес пула соответствовал криптовалюте Monero.

В заключение Фирш пишет, что о данной проблеме в Windows-клиенте Telegram, очевидно, было известно только злоумышленникам из России. Дело в том, что все обнаруженные случаи эксплуатации бага происходили именно в РФ. Кроме того, в ходе подробного изучения атак было обнаружено множество «артефактов», указывающих на русскоязычных киберпреступников.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — резюмирует исследователь.

Фото: «Лаборатория Касперского» 

Рекомендуем почитать:

Xakep #245. Нейросети

На прошлой неделе стало известно, что бразильские правоохранительные органы арестовали четырех подозреваемых во взломе 1000 учетных записей Telegram. В числе пострадавших от этих атак были высокопоставленные правительственные чиновники, включая президента страны Жаира Болсонару, а также министра юстиции Сержиу Мору и министра экономики Пауло Гуэдеса. Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн, тоже утверждали, что подвергались атакам.

Техника взлома учетных записей Telegram была подробно объяснена в судебном документе, связанном с арестом четырех хакеров. Впервые этот метод атак был описан еще в 2017 году исследователем Раном Бар-Зиком (Ran Bar-Zik).

Суть метода заключается в том, что большинство мессенджеров позволяют пользователям получать одноразовые коды доступа по SMS, а также в виде голосовых сообщений. И пользователи мессенджеров, у которых активна функция голосовой почты, подвергаются риску, если они не меняли пароль для голосовой почты по умолчанию, так как в большинстве случаев это «0000» или «1234».

Бар-Зик обнаружил, что если номер занят другим вызовом, или если пользователь не отвечает на вызов три раза подряд, одноразовый код подтверждения в конечном итоге перенаправляется на учетную запись голосовой почты пользователя. Откуда его весьма просто извлечь, если жертва не меняла пароль.

По информации бразильских властей, четверо хакеров установили на свои устройства приложения Telegram, но указали не свои номера телефонов, а номера известных политиков. Затем они запрашивали аутентификацию посредством голосового сообщения, и в это время принимались звонить на телефоны получателей, чтобы одноразовый код доступа точно был направлен в голосовую почту. После подозреваемые имитировали телефонные номера целей (с помощью VoIP), использовали пароль по умолчанию для доступа к учетной записи голосовой почты, получали одноразовый код и привязали учетную запись Telegram жертвы к своему устройству, то есть получали полный доступ к аккаунту и всей истории его сообщений.

Резонансный взлом учетных записей бразильских политиков не оставили без внимания и сами разработчики Telegram. Издание ZDNet сообщило, что в минувшие выходные мессенджер получил обновление, которое призвано предотвратить подобные атаки в будущем.

Разработчики пояснили, что с недавнего времени запросить код подтверждения по телефону можно лишь в том случае, если учетная запись пользователя защищена двухэтапной верификацией. Разумеется, это исправление доступно не только бразильским пользователям, но всем юзерам Telegram.

Однако стоит помнить о том, что компрометация учетной записи через голосовую почту работает не только для Telegram. Впервые такая атака была продемонстрирована на примере WhatsApp, а затем было доказано, что метод работает и для Facebook, Google, Twitter, WordPress, eBay, PayPal и множества других сервисов. Так как их разработчики не предпринимали никаких дополнительных защитных мер, пользователям крайне рекомендуется изменить пароль по умолчанию для голосовой почты.

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации