В Telegram исправлена проблема, с помощью которой скомпрометировали аккаунты бразильских политиков

БезопасностьПользователюИнтернетВеб-сервисыИнтернет-ПО07.08.2020, Пт, 10:52, Мск , Текст: Эльяс Касми

Telegram допускает создание поддельного профиля, маскирующегося под «Избранное», в которое пользователи часто помещают важную информацию, включая фотографии и пароли. Хакеры могут написать пользователю с такого поддельного аккаунта, после чего он начнет хранить эти сведения в поддельном «Избранном», открывая тем самым доступ к ним третьим лицам.

Новая уязвимость Telegram

Пользователи Telegram со всего мира оказались под угрозой потери личных данных – хакеры могут украсть их через подделку «Избранного» (Saved Messages). Это отдельный чат, которым многие пользуются для отправки сообщений самому себе или хранения какой-либо важной информации для быстрого доступа к ней с различных устройств. Это может быть что угодно – логины и пароли, корпоративная документация, персональные данные и т.д.

Воспользоваться уязвимостью может любой, даже с нулевыми познаниями во взломах приложений. Для этого достаточно создать новый профиль в Telegram, назвать его Saved Messages и поставить фотографию в виде иконки закладки.

После этого будет достаточно написать будущей жертве любое сообщение с этого профиля, даже состоящее из одного символа, и сразу удалить его. В итоге поддельный профиль не только отобразится в списке контактов жертвы, но и автоматически будет перемещен в его начало.

tel600.jpg

Мессенджер Павла Дурова позволял обманывать пользователей с помощью поддельных профилей

Дальше останется лишь ждать, пока пользователь решит отправить сообщение самому себе через «Избранное». Как только он это сделает, злоумышленник получит к нему доступ.

Реакция Telegram

На момент публикации материала официальные представители Telegram не реагировали на появление информации о новой уязвимости в мессенджере. Тем не менее, появились свидетельства о том, что команда разработчиков начала блокировать все аккаунты, создаваемые с именем Saved Messages.

Редакция CNews убедилась в этом, попытавшись создать профиль с именем Saved Messages через Android-приложение Telegram. Регистрация прошла успешно, но менее чем через минуту приложение автоматически вышло из профиля и предложило залогиниться заново. Редакция CNews попыталась зарегистрироваться повторно с использованием того же номера телефона, но он уже попал в список заблокированных.

tel601.jpg

Лазейка прикрыта

В настоящее время неизвестно, как много профилей Saved Messages было создано до введения автоматической блокировки, и какова их судьба. Другими словами, существует вероятность, что десятки мошеннических аккаунтов, маскирующихся под «Избранное», по-прежнему функционируют.

Сработает не со всеми

К минусам новой уязвимости Telegram можно отнести отсутствие 100-процентной вероятности получения доступа к личной информации жертвы. Пользователь, заинтересовавший хакера, может не использовать «Избранное» для хранения важных данных, и передавать их на другие устройства, к примеру, посредством облака или сменного носителя.

В случае если «атакованный» хакером пользователь все же использует данный метод быстрого доступа к данным, он может применять его на очень нерегулярной основе. В этом случае злоумышленник будет вынужден тратить время на длительное ожидание.

Способы защиты

Еще один недостаток нового способа «взлома» Telegram – в большом количестве способов защиты. Первый и самый основной – если в списке диалогов появится поддельное «Избранное», то даже при идеальном совпадении иконок с настоящим «Избранным» под таким контактом будет висеть табличка «В сети», если злоумышленник в данный момент подключен к Telegram.

Второе – данный способ не сработает с пользователями русскоязычной версии Telegram, если хакер создаст профиль Saved Messages. В списке диалогов жертвы он будет называться именно так, а не как «Избранное», что вызовет подозрение у внимательных пользователей.

Третий способ защиты – это закрепление «Избранного» в списке диалогов вручную. В этом случае отличить его от подделки можно будет по соответствующей пиктограмме.

Четвертый и самый надежный способ не попасться на новую уловку хакеров заключается в неиспользовании «Избранного» в качестве инструмента для быстрого доступа к нужной информации с нескольких устройств. Для этого можно, к примеру, создать секретный чат или использовать сторонние сервисы, не связанные с профилем в Telegram.

Публикация к юбилею Telegram

В секретных чатах Telegram используется В«сквозное шифрованиеВ», и что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для Алисы необходим пароль от этого ключа, который невозможно сбрутить, придерживаясь современной доктрины парольной защиты. В Telegram end to end encryption на Android — это становится возможно с вероятностью 100%. Обход двухфакторной аутентификации, восстановление пин-кода и угон секретных чатов в Telegram об этой уязвимости и будет статья.

В своей работе я постараюсь описать подробный мануал по уязвимости в Telegram на Android-девайсах, приведу примеры по восстановлению local code Telegram на Android, Desktop Linux/Windows. Скомпрометирую секретный чат Telegram. В этом противостоянии с командой Дурова мне поможет моя компания: Я; Android 7.0; Android 6.0 (root); Android 4.4.2 (root); ПК с OS Linux/Windows. На первый взгляд кажется силы не равны, посмотрим…

https://habr.com/post/419551/

В блоге разработчика Ahmed’s Blog появился интересный пост про обнаруженную им уязвимость. В частности, функция «Люди рядом» (помогает искать пользователей поблизости и знакомиться) позволяет узнать точное местонахождение пользователя даже без специальных навыков или оборудования.

Функция работает на расстоянии до 12 км, так что за несколько минут перебора можно найти человека, зная его город (а лучше район) — что не так сложно вычислить благодаря соцсетям. Далее действовать можно по-разному: либо пройтись самостоятельно и записать данные об удалённости с трёх разных точек, либо использовать приложение, заставляющее смартфон думать, что вы находитесь в другом месте.

Автор пошёл по второму пути. Поочерёдно вбил три набора координат, записал расстояние до нужного пользователя. Затем перенёс эти координаты в Google Earth Pro и обвёл радиусы, полученные из Telegram. Пересечение трёх окружностей выдало ему нужное место. Поскольку автор был знаком с этим пользователем, он уточнил, находится ли он в зоне, определённой с помощью Telegram — и это действительно оказалось так.

Обычно подобные сервисы обеспечивают безопасность пользователей, выдавая не совсем точное расстояние (путём добавления рандомного числа), из-за чего радиусы с трёх точек либо не пересекутся, либо дадут более обширную область. Удивительно, но когда автор связался с представителями Telegram, ему ответили, что не считают такую особенность проблемой.

Трансляцию геолокации можно (и крайне рекомендуется) отключить. Для этого в приложении откройте вкладку «Контакты» → «Найти людей рядом» → «Не показывать меня». По умолчанию эта функция отключена, но вы могли включить её ради эксперимента и забыть выключить.

секретные чаты ” class=”aligncenter” src=”https://riafan.ru/uploads/2018/08/08/orig-153373219575b02bd490a69d003940734d12da4045.jpeg” width=”600″>

Пользователи Интернета обнаружили, что уязвимость в мессенджере Telegram позволяет скомпрометировать секретные чаты. Подробнее — в материале Федерального агентства новостей.

«В секретных чатах Telegram используется сквозное шифрование. И что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для Алисы. Необходим пароль от этого ключа, который невозможно сбрутить (взлом путем подбора пароля. — Прим. ФАН), придерживаясь современной доктрины парольной защиты. В Telegram end to end encryption на Android  это становится возможно с вероятностью 100%», — пишет автор блога, размещенного на портале habr.

«Погоня за сомнительным пиаром»

Независимый аналитик Иван Аркатов прокомментировал ФАН уязвимость мессенджера, которая позволяет скомпрометировать секретные чаты.

«Можно сказать, что Telegram за последние месяцы стал самым упоминаемым в российских средствах массовой информации мессенджером. Этому способствовал конфликт Telegram и Роскомнадзора. Скорее всего, целью конфликта для руководства мессенджера, включая Павла Дурова, был пиар. Они его использовали в полной мере для продвижения своего продукта не только в России, но и во всем мире.

Выходит, что руководство Telegram использует Россию как площадку для вот такой специфической рекламы. Руководство мессенджера больше зациклено на маркетинговой и политической составляющей вопроса», — пояснил Иван Аркатов.

” class=”aligncenter” src=”https://riafan.ru/uploads/2018/08/08/orig-1533732258443f171e10335868f01e91f58deecb41.jpeg” width=”600″>

Ранее ФАН уже сообщало о том, что в мессенджере Telegram обнаружены каналы, которые публикуют паспортные данные россиян. Об этом на своей официальной странице в Facebook рассказала основатель портала Rusbase Мария Подлеснова.

Источник

2018-08-08Рекомендуем почитать:262-retina-210x280.jpg

Xakep #262. ROPETWO

На прошлой неделе стало известно, что бразильские правоохранительные органы арестовали четырех подозреваемых во взломе 1000 учетных записей Telegram. В числе пострадавших от этих атак были высокопоставленные правительственные чиновники, включая президента страны Жаира Болсонару, а также министра юстиции Сержиу Мору и министра экономики Пауло Гуэдеса. Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн, тоже утверждали, что подвергались атакам.

Техника взлома учетных записей Telegram была подробно объяснена в судебном документе, связанном с арестом четырех хакеров. Впервые этот метод атак был описан еще в 2017 году исследователем Раном Бар-Зиком (Ran Bar-Zik).

Суть метода заключается в том, что большинство мессенджеров позволяют пользователям получать одноразовые коды доступа по SMS, а также в виде голосовых сообщений. И пользователи мессенджеров, у которых активна функция голосовой почты, подвергаются риску, если они не меняли пароль для голосовой почты по умолчанию, так как в большинстве случаев это «0000» или «1234».

Бар-Зик обнаружил, что если номер занят другим вызовом, или если пользователь не отвечает на вызов три раза подряд, одноразовый код подтверждения в конечном итоге перенаправляется на учетную запись голосовой почты пользователя. Откуда его весьма просто извлечь, если жертва не меняла пароль.

По информации бразильских властей, четверо хакеров установили на свои устройства приложения Telegram, но указали не свои номера телефонов, а номера известных политиков. Затем они запрашивали аутентификацию посредством голосового сообщения, и в это время принимались звонить на телефоны получателей, чтобы одноразовый код доступа точно был направлен в голосовую почту. После подозреваемые имитировали телефонные номера целей (с помощью VoIP), использовали пароль по умолчанию для доступа к учетной записи голосовой почты, получали одноразовый код и привязали учетную запись Telegram жертвы к своему устройству, то есть получали полный доступ к аккаунту и всей истории его сообщений.

Резонансный взлом учетных записей бразильских политиков не оставили без внимания и сами разработчики Telegram. Издание ZDNet сообщило, что в минувшие выходные мессенджер получил обновление, которое призвано предотвратить подобные атаки в будущем.

Разработчики пояснили, что с недавнего времени запросить код подтверждения по телефону можно лишь в том случае, если учетная запись пользователя защищена двухэтапной верификацией. Разумеется, это исправление доступно не только бразильским пользователям, но всем юзерам Telegram.

Однако стоит помнить о том, что компрометация учетной записи через голосовую почту работает не только для Telegram. Впервые такая атака была продемонстрирована на примере WhatsApp, а затем было доказано, что метод работает и для Facebook, Google, Twitter, WordPress, eBay, PayPal и множества других сервисов. Так как их разработчики не предпринимали никаких дополнительных защитных мер, пользователям крайне рекомендуется изменить пароль по умолчанию для голосовой почты.

Используемые источники:

  • https://www.cnews.ru/news/top/2020-08-07_v_telegram_obnaruzhena_gigantskaya
  • https://pikabu.ru/story/uyazvimost_v_telegram_pozvolyaet_skomprometirovat_sekretnyie_chatyi_6079509/author
  • https://lifehacker.ru/telegram-uyazvimost-geolokacii/
  • https://www.elentur.com.ua/ekspert-prokommentiroval-yiazvimost-telegram-kotoraia-pozvoliaet-skomprometirovat-sekretnye-chaty/
  • https://xakep.ru/2019/07/31/voice-mail-hack/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий