Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen gebruikten Telegram-client voor verspreiding Windows-malware'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een bug in de Windows-client van de chatapp Telegram ontdekt. Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Kaspersky vermeldt dat de criminelen een zogenaamde right to left override-aanval gebruikten. Daarbij maakt een aanvaller gebruik van een bepaald unicodekarakter zonder symbool, aangeduid als u+202e, om de tekst die op dat symbool volgt om te draaien. Dat is nuttig om bijvoorbeeld een extensie van een bestand anders te doen lijken dan hij in werkelijkheid is. Kaspersky noemt het voorbeeld van een javascript-bestand 'gnp.js'. Door deze tekst om te draaien, krijg je 'sj.png', waardoor het lijkt dat het om een afbeelding gaat. Hier is ook een langere bestandsnaam van te maken, zoals 'photo-high-resj.png', door het unicode-karakter op de juiste plek in te voegen. Het bestand behoudt echter zijn oorspronkelijke indeling.

In de Telegram-client zou een dergelijk js-bestand echter weergegeven zijn als een afbeelding, schrijft het beveiligingsbedrijf. Een Windows-gebruiker moet bij het openen ervan dan eerst langs een waarschuwing klikken dat de uitgever van het bestand in kwestie niet geverifieerd kan worden, wat bij een afbeelding voor sommige gebruikers argwaan doet ontstaan. Dit soort meldingen kunnen echter ook uit staan. Kaspersky heeft het probleem aan Telegram gemeld en het bedrijf zou het inmiddels hebben opgelost. Het is onduidelijk op welke manier dat is gebeurd.

Als een slachtoffer eenmaal het betreffende bestand had geopend, kon de malware zijn werk doen en een downloader op het systeem plaatsen om kwaadaardige code binnen te halen. Bijvoorbeeld in de vorm van een backdoor, keylogger of een cryptominer. De downloader communiceert met de criminelen via de Telegram-api, aldus Kaspersky. Het bedrijf noemt voorbeelden als een miner voor NiceHash of een Monero-miner. Het meldt verder dat de bug hoofdzakelijk bekend leek te zijn bij Russische criminelen. Het is onduidelijk hoeveel slachtoffers er zijn gemaakt. De aanvallen via deze methode begonnen in maart van vorig jaar.

Update, 16:12: Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.

Een 'png'-bestand in de Telegram-client. Via Kaspersky

 

Door

Nieuwsredacteur

55 Linkedin Google+

Reacties (55)

Wijzig sortering
De reactie vanuit Telegram.

https://t.me/durov/70
https://t.me/durov/71
The Kaspersky antivirus company claimed today they found a “0-day vulnerability on Telegram for Windows”, which affected “1000 users before it was fixed”.

As always, reports from antivirus companies must be taken with a grain of salt, as they tend to exaggerate the severity of their findings to get publicity in mass media. Telegram Geeks, a community of Telegram fans, gave a good explanation of what it really was about:
▶️ Our two cents:

Well, this is not a real vulnerability on Telegram Desktop, no one can remotely take control of your computer or Telegram unless you open a malicius file.

This kind of vulnerability is based on social engineering.

In fact, it was a .js file hidden on a a .png file, this happened thanks to RTL characters.

Windows users must click on the Run dialog in order to install the malware.

So don't worry, unless you opened a malicius file, you have always been safe.

ℹ️ @geeksChannel
Technisch wel correct, anderzijds ook wel kort door de bocht. Het is de gebruiker die zelf intieert maar doordat Telegram het vanwege de getoonde extensie als afbeeling interpreteert kan ik mij wel verwarring voorstellen.
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
Ik ben het met je eens, zo te horen zit dit probleem op Windows-niveau en zouden alle applicaties hier last van moeten hebben. Ik heb geen Windows, dus ik kan het zelf niet testen, maar zou iemand het eens met wat andere applicaties kunnen proberen?

Het is overigens nog een moeilijke vraag wat je nu precies met zo'n RTL-karakter moet doen. Helemaal negeren lijkt me ook niet de juiste oplossing, maar wat moet je dan wel? Af en toe wil ik terug naar de 7-bit ASCII tijd.
Dit probleem bestaat al vele jaren. Windows zelf weet wel dat zo'n exe.png-bestand uitvoerbaar is en waarschuwt ook. Alleen is het voor de mens niet te zien aan de gebruikersnaam (maar wel aan andere dingen: het bestandstype e.d. is gewoon "JavaScript" of "exe" of wat dan ook). Bij JavaScript kan het zijn dat Windows niet waarschuwt, hangt denk ik van je systeem af. De oplossing is ook al heel oud: je kunt instellen dat er geen right-to-left-karakters mogen zitten in bestandsnamen. Zo is het bij mij.
Microsoft heeft gewoon de fout gemaakt om de extensies standaard niet meer te tonen..
dit moet je aanzetten en dan kan je weer gewoon zien wat welk bestand is.
Bij RTL is/was dat volgens mij niet het geval in de bestandsnaam: daar krijg je echt exe.jpg te zien als je RTL niet geblokkeerd hebt in bestandsnamen. Maar verder helemaal met je eens: ik zet bij snaren en mezelf altijd meteen het weergeven van extensies aan.
Mee eens, dit is weer zon typische 'we zijn niet slecht beveiligd, beveiligings-bedrijf x is ruk' uitspraak die wel vaker komt van een bedrijf wat met zn neus op de feiten word geduwd.

Komen ze volgende week met een patch zonder beschrijving die dit lek dicht, let maar op.
D’accord, Telegram heeft nog nooit een lek toegegeven zonder er op z’n minst een “maar...” + marketing verhaaltje aan te hangen om het om te draaien of sterk te downplayen; en veelal grove problemen afgedaan als “welnee, niets aan de hand.” of te wijzen naar vermeende problemen van anderen zonder in te gaan op hun eigen probleem. Dat is zeer zorgwekkend gedrag waar ze nogsteeds niet overheen zijn.

Dat gezegd hebbende is het probleem al opgelost door Telegram. ;)

[Reactie gewijzigd door WhatsappHack op 13 februari 2018 16:47]

Met Telegram Protocol doel je op MTProto voor de encryptie? Dat is al lang en breed als “broken” bestempeld en wordt maar niet opgelost, helaas. Dat zit niet goed in elkaar, maar het achterlijke idee is kennelijk “als er nog geen aanval in de praktijk is ontwikkeld, dan is het geen probleem.”. Die insteling zou je helaas misschien verwachten van luie mensen en bedrijven (ik bedoel, hoelang heeft het geduurd om van SHA-1 af te stappen? Dat begon ook pas vaart te lopen toen een paar jaar na ontdekking van zwaktes een groepje wetenschappers een actieve aanval publiceerde; tot die tijd was het “ach, het is op t moment maar een theoretische zwakte”, maar bijna niemand die zich leek te realiseren dat die publicatie mogelijk niet de eerste actieve aanval was maar dat inlichtingendiensten/(criminele) hackers misschien allang een methode hadden ;)), maar is niet het gedrag dat je van de ontwikkelaar zou mogen verwachten... Zwaktes moeten als het even kan opgelost worden vóór het een probleem wordt. Niet achteraf. Zeker niet als je al afwist van het probleem.

Contests op die premises zijn snake-oil voor PR-doeleinden overigens.

[Reactie gewijzigd door WhatsappHack op 13 februari 2018 18:00]

Bron graag... want ik heb alleen gelezen over designkeuzes waar bepaalde security experts hun twijfels over uiten.
Als het zo makkelijk zou zijn, had iemand toch door prijs inmiddels wel geïncasseerd, is volgens mij beste veel geld...
Goed om te horen dat ze het al op hebben gelost, maar slecht dat ze blijkbaar standaard zo de handen er vanaf houden.
In de politiek noemen ze 'What-aboutism' en je raad het al, vooral Rusland is daar erg sterk in :D

edit: -> https://en.wikipedia.org/wiki/Whataboutism

[Reactie gewijzigd door MarvTheMartian op 13 februari 2018 21:04]

Het werkt exact andersom. Telegram geeft het bericht weer wanneer iemand in jouw contactlijst een Telegram account heeft aangemaakt. Met andere woorden, het is al een contactpersoon van je, Telegram brengt je enkel op de hoogte dat je deze persoon nu ook via Telegram kunt benaderen. Die notificatie is geen echt chat bericht, en de andere persoon die zojuist een Telegram account heeft aangemaakt, zal het bericht ook niet zien.

Het is dus niet zo dat Telegram een bericht naar al jouw contacten stuurt op het moment dat je een account aanmaakt. Echter, het is een instelling en je kunt hem uitzetten als je niet zit te wachten op dit soort notificaties.

Dat een bepaald mobiel nummer wel of niet geregistreerd is als een account, is in principe openbare informatie. Je kunt het immers eenvoudig opvragen door een contact toe te voegen en te kijken of je er een bericht naar kunt sturen. Hier hangen natuurlijk API limieten aan zodat je niet zomaar alle mobiele nummers kunt proberen. Daarnaast worden spammende accounts automatisch of na reports geblokkeerd en kunnen zij alleen wederzijdse contacten bereiken (waar beide partijen elkaars nummer hebben).
Nou, je krijgt niet echt een bericht. Je krijgt geen notificatie op je telefoon oid. Het staat alleen ergens in je gespreksgeschiedenis, voor wanneer je daar toevallig eens naar kijkt. Je krijgt niet actief een bericht. En je kunt het dus uitzetten.

[Reactie gewijzigd door Cerberus_tm op 14 februari 2018 07:13]

ze kunnen ook gewoon de extentie weglaten, dan is het nog makkelijker iemand een virus te sturen. je kan nooit dit soort dingen automatisch altijd goed doen, daarvoor zijn ze fundamenteel kapot.
Dus telegram komt niet eens met een eigen statement, ze verwijzen doodleuk naar een community? dat is wel heel erg lui van ze. Hoop dat ze de boel in ieder geval snel patchen, dat zij vinden dat Kaspersky zich aanstelt betekend nog niet dat er geen probleem is.
Het probleem is al gerepareerd.
Edit: Ah, dat had je hierboven ook al gezien.

[Reactie gewijzigd door CykoByte op 13 februari 2018 16:53]

Oud nieuws, dit is al jaren een probleem.

Zie deze pagina (uit 2011) over hoe de security policy editor te gebruiken om dit soort aanvallen te voorkomen: https://www.ipa.go.jp/sec...ss/201110/E_PR201110.html.

[Reactie gewijzigd door CykoByte op 13 februari 2018 16:56]

Windows gaat hier idd niet goed mee om. Ik heb het even gecheckt:

Bij het hernoemen van Map1.xlsx> Map1.xl krijg ik een melding:
If you want to change a filename extension, the file might become unusable.
Bij het hernoemen naar WorkplaceMap.<character>.xslx krijg ik geen melding, bestand wordt gewoon aangepast zonder waarschuwing en maakt er een "eliF XSLX" van. Het proberen te openen van het bestand lukt niet, aangezien hij het bestandsformaat niet herkent.

De popup die ik krijg is dan ook grappig:
How do you want to open this file?
✔️Always use this app to open .selfi xslx
Waarom die dan van files "selfi" maakt snap ik ook niet, ik had dan toch "selif" verwacht :+

[Reactie gewijzigd door thefal op 13 februari 2018 16:56]

Kunnen ze die RTL encoding niet gewoon uitschakelen voor bestandsnamen? ez fix.
Maar wat doe je dan als er mensen zijn die bewust/correct zo'n teken hebben gebruikt in hun bestandsnamen? Er zijn nu eenmaal talen die RTL worden geschreven, die kunnen we niet even allemaal opheffen omdat er ergens een bug is. (Ik weet eerlijk gezegd niet of z'n RTL-teken ook op die manier wordt gebruikt).
Je zou moeten kunnen instellen dat je dat soort ondersteuning niet wilt op jouw systeem. Sowieso is unicode een grote bron van problemen met phishing.
Waarom parsed telegram niet gewoon dat character? Dan zou je de juiste/verkeerde bestandsnaam krijgen: zie https://xkcd.com/1137/
Omdat je niet altijd user input 100% wilt parsen 'as is'. Zeker met files wil je dat processen, checken op bepaalde zaken e.d. en dan heb je vaak ook nog met CDN's en dergelijke te maken.

En overigens in deze case parste ze -juist- dat karakter waardoor het fout ging ;)

[Reactie gewijzigd door Douweegbertje op 13 februari 2018 19:50]

Een high res foto van 138 bytes? dat is wel een beetje weinig/zou de alarm bellen toch moeten laten rinkelen.
Ik wilde er al op drukken, maar bleek een screen-shot te zijn :o Nee serieus, zal waarschijnlijk een proof-of-concept scriptje zijn.
Vergeet niet dat het Windows platform het mogelijk maakt om malware geïnstalleerd te krijgen, door een gelayerd third party program dan de schuld te geven is dan meer een afleidingsmaneuvre.
Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.
In ander nieuws: "Onze cigaretten zijn niet ongezond, gebruikers kiezen er zelf voor om ze aan te steken en de rook in te ademen."
Oud nieuws, oktober ontdekt en november gerepareerd. Windows gaf gewoon een melding of je dit wel wil installeren.

Redactie: Waarom wordt Telegram altijd vergeleken met Whatsapp. Het is een app waar je ook mee kan chatten. Kijk eens op @kanalen_nl voor wat er mogelijk is zonder dat je vrienden hebt op Telegram.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*