Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen gebruikten Telegram-client voor verspreiding Windows-malware'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een bug in de Windows-client van de chatapp Telegram ontdekt. Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Kaspersky vermeldt dat de criminelen een zogenaamde right to left override-aanval gebruikten. Daarbij maakt een aanvaller gebruik van een bepaald unicodekarakter zonder symbool, aangeduid als u+202e, om de tekst die op dat symbool volgt om te draaien. Dat is nuttig om bijvoorbeeld een extensie van een bestand anders te doen lijken dan hij in werkelijkheid is. Kaspersky noemt het voorbeeld van een javascript-bestand 'gnp.js'. Door deze tekst om te draaien, krijg je 'sj.png', waardoor het lijkt dat het om een afbeelding gaat. Hier is ook een langere bestandsnaam van te maken, zoals 'photo-high-resj.png', door het unicode-karakter op de juiste plek in te voegen. Het bestand behoudt echter zijn oorspronkelijke indeling.

In de Telegram-client zou een dergelijk js-bestand echter weergegeven zijn als een afbeelding, schrijft het beveiligingsbedrijf. Een Windows-gebruiker moet bij het openen ervan dan eerst langs een waarschuwing klikken dat de uitgever van het bestand in kwestie niet geverifieerd kan worden, wat bij een afbeelding voor sommige gebruikers argwaan doet ontstaan. Dit soort meldingen kunnen echter ook uit staan. Kaspersky heeft het probleem aan Telegram gemeld en het bedrijf zou het inmiddels hebben opgelost. Het is onduidelijk op welke manier dat is gebeurd.

Als een slachtoffer eenmaal het betreffende bestand had geopend, kon de malware zijn werk doen en een downloader op het systeem plaatsen om kwaadaardige code binnen te halen. Bijvoorbeeld in de vorm van een backdoor, keylogger of een cryptominer. De downloader communiceert met de criminelen via de Telegram-api, aldus Kaspersky. Het bedrijf noemt voorbeelden als een miner voor NiceHash of een Monero-miner. Het meldt verder dat de bug hoofdzakelijk bekend leek te zijn bij Russische criminelen. Het is onduidelijk hoeveel slachtoffers er zijn gemaakt. De aanvallen via deze methode begonnen in maart van vorig jaar.

Update, 16:12: Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.

Een 'png'-bestand in de Telegram-client. Via Kaspersky

 

Door

Nieuwsredacteur

55 Linkedin Google+

Reacties (55)

Wijzig sortering
De reactie vanuit Telegram.

https://t.me/durov/70
https://t.me/durov/71
The Kaspersky antivirus company claimed today they found a “0-day vulnerability on Telegram for Windows”, which affected “1000 users before it was fixed”.

As always, reports from antivirus companies must be taken with a grain of salt, as they tend to exaggerate the severity of their findings to get publicity in mass media. Telegram Geeks, a community of Telegram fans, gave a good explanation of what it really was about:
▶️ Our two cents:

Well, this is not a real vulnerability on Telegram Desktop, no one can remotely take control of your computer or Telegram unless you open a malicius file.

This kind of vulnerability is based on social engineering.

In fact, it was a .js file hidden on a a .png file, this happened thanks to RTL characters.

Windows users must click on the Run dialog in order to install the malware.

So don't worry, unless you opened a malicius file, you have always been safe.

ℹ️ @geeksChannel
Technisch wel correct, anderzijds ook wel kort door de bocht. Het is de gebruiker die zelf intieert maar doordat Telegram het vanwege de getoonde extensie als afbeeling interpreteert kan ik mij wel verwarring voorstellen.
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
Ik ben het met je eens, zo te horen zit dit probleem op Windows-niveau en zouden alle applicaties hier last van moeten hebben. Ik heb geen Windows, dus ik kan het zelf niet testen, maar zou iemand het eens met wat andere applicaties kunnen proberen?

Het is overigens nog een moeilijke vraag wat je nu precies met zo'n RTL-karakter moet doen. Helemaal negeren lijkt me ook niet de juiste oplossing, maar wat moet je dan wel? Af en toe wil ik terug naar de 7-bit ASCII tijd.
Dit probleem bestaat al vele jaren. Windows zelf weet wel dat zo'n exe.png-bestand uitvoerbaar is en waarschuwt ook. Alleen is het voor de mens niet te zien aan de gebruikersnaam (maar wel aan andere dingen: het bestandstype e.d. is gewoon "JavaScript" of "exe" of wat dan ook). Bij JavaScript kan het zijn dat Windows niet waarschuwt, hangt denk ik van je systeem af. De oplossing is ook al heel oud: je kunt instellen dat er geen right-to-left-karakters mogen zitten in bestandsnamen. Zo is het bij mij.
Microsoft heeft gewoon de fout gemaakt om de extensies standaard niet meer te tonen..
dit moet je aanzetten en dan kan je weer gewoon zien wat welk bestand is.
Bij RTL is/was dat volgens mij niet het geval in de bestandsnaam: daar krijg je echt exe.jpg te zien als je RTL niet geblokkeerd hebt in bestandsnamen. Maar verder helemaal met je eens: ik zet bij snaren en mezelf altijd meteen het weergeven van extensies aan.
Mee eens, dit is weer zon typische 'we zijn niet slecht beveiligd, beveiligings-bedrijf x is ruk' uitspraak die wel vaker komt van een bedrijf wat met zn neus op de feiten word geduwd.

Komen ze volgende week met een patch zonder beschrijving die dit lek dicht, let maar op.
D’accord, Telegram heeft nog nooit een lek toegegeven zonder er op z’n minst een “maar...” + marketing verhaaltje aan te hangen om het om te draaien of sterk te downplayen; en veelal grove problemen afgedaan als “welnee, niets aan de hand.” of te wijzen naar vermeende problemen van anderen zonder in te gaan op hun eigen probleem. Dat is zeer zorgwekkend gedrag waar ze nogsteeds niet overheen zijn.

Dat gezegd hebbende is het probleem al opgelost door Telegram. ;)

[Reactie gewijzigd door WhatsappHack op 13 februari 2018 16:47]

Dat is erg gebruikelijk. Telegram heeft in het verleden al een aantal geldprijzen uitgedeeld aan inzendingen van hun security contests, maar het echte Telegram protocol is nog steeds niet doorbroken en wordt er elke keer alleen maar sterker van. Ook deze "kwetsbaarheid" (als je het zo wilt noemen..) werd in oktober al gefixt door Telegram.
Met Telegram Protocol doel je op MTProto voor de encryptie? Dat is al lang en breed als “broken” bestempeld en wordt maar niet opgelost, helaas. Dat zit niet goed in elkaar, maar het achterlijke idee is kennelijk “als er nog geen aanval in de praktijk is ontwikkeld, dan is het geen probleem.”. Die insteling zou je helaas misschien verwachten van luie mensen en bedrijven (ik bedoel, hoelang heeft het geduurd om van SHA-1 af te stappen? Dat begon ook pas vaart te lopen toen een paar jaar na ontdekking van zwaktes een groepje wetenschappers een actieve aanval publiceerde; tot die tijd was het “ach, het is op t moment maar een theoretische zwakte”, maar bijna niemand die zich leek te realiseren dat die publicatie mogelijk niet de eerste actieve aanval was maar dat inlichtingendiensten/(criminele) hackers misschien allang een methode hadden ;)), maar is niet het gedrag dat je van de ontwikkelaar zou mogen verwachten... Zwaktes moeten als het even kan opgelost worden vóór het een probleem wordt. Niet achteraf. Zeker niet als je al afwist van het probleem.

Contests op die premises zijn snake-oil voor PR-doeleinden overigens.

[Reactie gewijzigd door WhatsappHack op 13 februari 2018 18:00]

Bron graag... want ik heb alleen gelezen over designkeuzes waar bepaalde security experts hun twijfels over uiten.
Als het zo makkelijk zou zijn, had iemand toch door prijs inmiddels wel geïncasseerd, is volgens mij beste veel geld...
Goed om te horen dat ze het al op hebben gelost, maar slecht dat ze blijkbaar standaard zo de handen er vanaf houden.
In de politiek noemen ze 'What-aboutism' en je raad het al, vooral Rusland is daar erg sterk in :D

edit: -> https://en.wikipedia.org/wiki/Whataboutism

[Reactie gewijzigd door MarvTheMartian op 13 februari 2018 21:04]

De andere vorm van marketing is dat Telegram bij installatie iedereen die jou in de contactlijst heeft een bericht stuurt dat je het gebruikt: "Your friend has joined Telegram".

Telegram en Privacy lijken me eigenlijk 2 conflicterende termen.
Het werkt exact andersom. Telegram geeft het bericht weer wanneer iemand in jouw contactlijst een Telegram account heeft aangemaakt. Met andere woorden, het is al een contactpersoon van je, Telegram brengt je enkel op de hoogte dat je deze persoon nu ook via Telegram kunt benaderen. Die notificatie is geen echt chat bericht, en de andere persoon die zojuist een Telegram account heeft aangemaakt, zal het bericht ook niet zien.

Het is dus niet zo dat Telegram een bericht naar al jouw contacten stuurt op het moment dat je een account aanmaakt. Echter, het is een instelling en je kunt hem uitzetten als je niet zit te wachten op dit soort notificaties.

Dat een bepaald mobiel nummer wel of niet geregistreerd is als een account, is in principe openbare informatie. Je kunt het immers eenvoudig opvragen door een contact toe te voegen en te kijken of je er een bericht naar kunt sturen. Hier hangen natuurlijk API limieten aan zodat je niet zomaar alle mobiele nummers kunt proberen. Daarnaast worden spammende accounts automatisch of na reports geblokkeerd en kunnen zij alleen wederzijdse contacten bereiken (waar beide partijen elkaars nummer hebben).
Maar Telegram stuurt jouw dus een bericht als iemand in jouw contacts iets installeert. En dat probeer jij goed te praten? Als Whatsapp dat zou doen zouden hier records worden gebroken met negatieve reacties.

[Reactie gewijzigd door keenan001 op 13 februari 2018 20:04]

Nou, je krijgt niet echt een bericht. Je krijgt geen notificatie op je telefoon oid. Het staat alleen ergens in je gespreksgeschiedenis, voor wanneer je daar toevallig eens naar kijkt. Je krijgt niet actief een bericht. En je kunt het dus uitzetten.

[Reactie gewijzigd door Cerberus_tm op 14 februari 2018 07:13]

Met whatsapp kan dat inderdaad ook.
ze kunnen ook gewoon de extentie weglaten, dan is het nog makkelijker iemand een virus te sturen. je kan nooit dit soort dingen automatisch altijd goed doen, daarvoor zijn ze fundamenteel kapot.
Dus telegram komt niet eens met een eigen statement, ze verwijzen doodleuk naar een community? dat is wel heel erg lui van ze. Hoop dat ze de boel in ieder geval snel patchen, dat zij vinden dat Kaspersky zich aanstelt betekend nog niet dat er geen probleem is.
Het probleem is al gerepareerd.
Edit: Ah, dat had je hierboven ook al gezien.

[Reactie gewijzigd door CykoByte op 13 februari 2018 16:53]

Yep mijn gemis, dat wist ik voordat whatsapphack het noemde nog niet :)
Oud nieuws, dit is al jaren een probleem.

Zie deze pagina (uit 2011) over hoe de security policy editor te gebruiken om dit soort aanvallen te voorkomen: https://www.ipa.go.jp/sec...ss/201110/E_PR201110.html.

[Reactie gewijzigd door CykoByte op 13 februari 2018 16:56]

Windows gaat hier idd niet goed mee om. Ik heb het even gecheckt:

Bij het hernoemen van Map1.xlsx> Map1.xl krijg ik een melding:
If you want to change a filename extension, the file might become unusable.
Bij het hernoemen naar WorkplaceMap.<character>.xslx krijg ik geen melding, bestand wordt gewoon aangepast zonder waarschuwing en maakt er een "eliF XSLX" van. Het proberen te openen van het bestand lukt niet, aangezien hij het bestandsformaat niet herkent.

De popup die ik krijg is dan ook grappig:
How do you want to open this file?
✔️Always use this app to open .selfi xslx
Waarom die dan van files "selfi" maakt snap ik ook niet, ik had dan toch "selif" verwacht :+

[Reactie gewijzigd door thefal op 13 februari 2018 16:56]

Kunnen ze die RTL encoding niet gewoon uitschakelen voor bestandsnamen? ez fix.
Maar wat doe je dan als er mensen zijn die bewust/correct zo'n teken hebben gebruikt in hun bestandsnamen? Er zijn nu eenmaal talen die RTL worden geschreven, die kunnen we niet even allemaal opheffen omdat er ergens een bug is. (Ik weet eerlijk gezegd niet of z'n RTL-teken ook op die manier wordt gebruikt).
Je zou moeten kunnen instellen dat je dat soort ondersteuning niet wilt op jouw systeem. Sowieso is unicode een grote bron van problemen met phishing.
Je zou moeten kunnen instellen dat je dat soort ondersteuning niet wilt op jouw systeem.
Als je het niet ondersteunt is er ook misbruik van te maken. Dan krijg je van die situaties dat iets op de computer van de programmeur onschuldig is maar op de computer van de klant een probleem oplevert.
Maak het dan zo dat alleen hele zinnen kunnen worden omgedraaid of whatever. Je kunt niet van mensen verwachten dat ze elke keer voordat ze op een bestand klikken gaan checken of er ergens "sj." in staat. Dat is een enorm beveiligingsrisico.
Maak het dan zo dat alleen hele zinnen kunnen worden omgedraaid of whatever.
Zo werkt taal nu eenmaal. Computers zijn er om mensen te dienen. Als mensen zinnen schrijven waarin sommige woorden de andere kant op worden geschreven, en dat gebeurt, dan zal de computer het moeten ondersteunen.
Maar als je dat in bestandsnamen toestaat in je chatapp ben je alleen maar nieuwe aanvalshoeken aan het maken voor mensen met slechte bedoelingen. zeg nu eerlijk welk praktisch nut dient dat.
Maar als je dat in bestandsnamen toestaat in je chatapp ben je alleen maar nieuwe aanvalshoeken aan het maken voor mensen met slechte bedoelingen. zeg nu eerlijk welk praktisch nut dient dat.
Het praktisch nut is dat mensen vrij met computers kunnen werken zonder na te hoeven denken over de regels van de computer. Zo'n ding is er om ons te dienen, niet andersom.

Dat neemt niet weg dat dit aanvalshoeken opent, maar ik ben bang dat het niet implementeren net zo veel problemen veroorzaakt, tenzij alle software dezelfde beslissing neemt. Als we dat echt willen moeten we Unicode aanpassen om dit teken er uit te halen. Verwachten dat alle software op dezelfde manier afwijkt van de standaard is geen goed plan.
Komt nog bij dat dit niet het enige problematische Unicode-teken is, er zijn er nog veel meer. Als we beginnen aan het standaardiseren van uitzonderingen dan kunnen we niet langer spreken van een standaard.
Misschien dat we het in een een toekomstige versie van Unicode anders kunnen aanpakken. Dat er bijvoorbeeld een "safety-mode" komt. Eerlijk gezegd denk ik dat het een onmogelijke opgave is omdat de mogelijkheden schier oneindig zijn en zeer cultureel bepaald zijn. Het is bijvoorbeeld ook verwarrend dat onze tekens '1', 'i', en 'l' zo veel op elkaar lijken en al helemaal als je zelf een ander alfabet gebruikt. Moeten we die dan maar uit Unicode gooien of onveilig verklaren?
Ik wil een chat app die geen unicode ondersteunt. ascii only. ben je meteen van al het gezeik af over wat men vroeger emoticons noemde. en wat boeit het mij nou of ik chinees of arabisch kan gebruiken. ik ken daar niemand en ik spreek die talen niet.

voor de arabieren en chinezen op deze aarde zal er dan nog wel een andere oplossing moeten worden verzonnen. maar dat mogen ze lekker zelf doen. moet je maar niet de verkeerde kant op schrijven :+

[Reactie gewijzigd door Origin64 op 16 februari 2018 16:23]

Helaas werkt dat niet voor 90% van de wereldbevolking. We hebben het in de vorige eeuw uitgebreid geprobeerd en dat was niet te houden. De hacks die werden uitgespookt om internationale karakters in ASCII te frotten waren nog veel erger dan de nadelen van Unicode.
Tot op de dag van vandaag hebben we te maken met teksten/pagina's die niet goed worden weergegeven en zit het knopje "text encoding" nog altijd op een prominente plek in je browser.
Unicode is een draak, maar beter dan geen Unicode.
Maar ik ken niemand in die 90%. Ik ken ook die talen niet. Geef desnoods de optie om alleen in mijn client unicode 'uit' te zetten en alleen karakters weer te geven die ook in ascii voorkomen , zoals ze in ascii voorkomen. ik verlies dan 0 aan functionaliteit en ben niet meer vatbaar voor deze aanval. en niemand anders heeft er last van.

dat telegram gewoon doodleuk zegt: lol jouw probleem, dat vind ik asociaal.

[Reactie gewijzigd door Origin64 op 16 februari 2018 16:37]

Maar ik ken niemand in die 90%. Ik ken ook die talen niet. Geef desnoods de optie om alleen in mijn client unicode 'uit' te zetten en alleen karakters weer te geven die ook in ascii voorkomen , zoals ze in ascii voorkomen. ik verlies dan 0 aan functionaliteit en ben niet meer vatbaar voor deze aanval. en niemand anders heeft er last van.
Schakel het dan uit op OS-niveau. Ik weet niet hoe het met Windows of OS-X zit, maar onder Linux is het nog wel te doen door je 'locale' instellingen aan te passen. Daar ga je niet gelukkig van worden, maar het kan.
Hahahaha. Windows kan dat echt niet. Het is het wilde westen. Developers mogen dat lekker zelf weten.
Waarom parsed telegram niet gewoon dat character? Dan zou je de juiste/verkeerde bestandsnaam krijgen: zie https://xkcd.com/1137/
Omdat je niet altijd user input 100% wilt parsen 'as is'. Zeker met files wil je dat processen, checken op bepaalde zaken e.d. en dan heb je vaak ook nog met CDN's en dergelijke te maken.

En overigens in deze case parste ze -juist- dat karakter waardoor het fout ging ;)

[Reactie gewijzigd door Douweegbertje op 13 februari 2018 19:50]

Een high res foto van 138 bytes? dat is wel een beetje weinig/zou de alarm bellen toch moeten laten rinkelen.
Ik wilde er al op drukken, maar bleek een screen-shot te zijn :o Nee serieus, zal waarschijnlijk een proof-of-concept scriptje zijn.
Vergeet niet dat het Windows platform het mogelijk maakt om malware geïnstalleerd te krijgen, door een gelayerd third party program dan de schuld te geven is dan meer een afleidingsmaneuvre.
Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.
In ander nieuws: "Onze cigaretten zijn niet ongezond, gebruikers kiezen er zelf voor om ze aan te steken en de rook in te ademen."
Daar hebben ze een punt, zonder ze aan te steken gaan ze ook een stuk langer mee; scheelt een hoop geld!
Oud nieuws, oktober ontdekt en november gerepareerd. Windows gaf gewoon een melding of je dit wel wil installeren.

Redactie: Waarom wordt Telegram altijd vergeleken met Whatsapp. Het is een app waar je ook mee kan chatten. Kijk eens op @kanalen_nl voor wat er mogelijk is zonder dat je vrienden hebt op Telegram.
Waarom wordt Telegram altijd vergeleken met Whatsapp. Het is een app waar je ook mee kan chatten.

8)7 8)7 8)7 8)7
@Sander van Voorst en Tweakers Redactie

Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Tweakers Redactie zijn jullie geobsedeerd door Rusland? Laatste periode lees ik niets anders dan negatieve verhalen over hoe slecht Russen zijn. Er bestaan ook nog andere nationaliteiten op de wereld.

Paar recente voorbeelden die ik me snel kon heugen van hoe slecht het Russische volk is wat hier op Tweakers is verschenen (er zijn er meer):

nieuws: Organisatie Winterspelen kreeg internetaanval te verduren bij opening...

reviews: Een ddos'er betrapt: hoe de aanvaller tegen de lamp liep. en uiteindelijk was het helemaal geen Rus of Rusland.
Zo creëer je juist haatzaaing.

Misschien andere vorm van schrijven zou minder negativiteit naar nationaliteiten kunnen schelen.

[Reactie gewijzigd door aliberto op 13 februari 2018 17:54]

Maar de Persgroep heeft echt geen invloed op de berichtgeving op tweakers. heus hoor. de redactie is onafhankelijk. Ze weten alleen maar wie hun loon betaalt. _/-\o_
Misschien dat er gewoon veel van dit soort zaken vanuit Rusland worden gedaan? Moet dat dan maar niet genoemd worden?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*