Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen gebruikten Telegram-client voor verspreiding Windows-malware'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een bug in de Windows-client van de chatapp Telegram ontdekt. Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Kaspersky vermeldt dat de criminelen een zogenaamde right to left override-aanval gebruikten. Daarbij maakt een aanvaller gebruik van een bepaald unicodekarakter zonder symbool, aangeduid als u+202e, om de tekst die op dat symbool volgt om te draaien. Dat is nuttig om bijvoorbeeld een extensie van een bestand anders te doen lijken dan hij in werkelijkheid is. Kaspersky noemt het voorbeeld van een javascript-bestand 'gnp.js'. Door deze tekst om te draaien, krijg je 'sj.png', waardoor het lijkt dat het om een afbeelding gaat. Hier is ook een langere bestandsnaam van te maken, zoals 'photo-high-resj.png', door het unicode-karakter op de juiste plek in te voegen. Het bestand behoudt echter zijn oorspronkelijke indeling.

In de Telegram-client zou een dergelijk js-bestand echter weergegeven zijn als een afbeelding, schrijft het beveiligingsbedrijf. Een Windows-gebruiker moet bij het openen ervan dan eerst langs een waarschuwing klikken dat de uitgever van het bestand in kwestie niet geverifieerd kan worden, wat bij een afbeelding voor sommige gebruikers argwaan doet ontstaan. Dit soort meldingen kunnen echter ook uit staan. Kaspersky heeft het probleem aan Telegram gemeld en het bedrijf zou het inmiddels hebben opgelost. Het is onduidelijk op welke manier dat is gebeurd.

Als een slachtoffer eenmaal het betreffende bestand had geopend, kon de malware zijn werk doen en een downloader op het systeem plaatsen om kwaadaardige code binnen te halen. Bijvoorbeeld in de vorm van een backdoor, keylogger of een cryptominer. De downloader communiceert met de criminelen via de Telegram-api, aldus Kaspersky. Het bedrijf noemt voorbeelden als een miner voor NiceHash of een Monero-miner. Het meldt verder dat de bug hoofdzakelijk bekend leek te zijn bij Russische criminelen. Het is onduidelijk hoeveel slachtoffers er zijn gemaakt. De aanvallen via deze methode begonnen in maart van vorig jaar.

Update, 16:12: Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.

Een 'png'-bestand in de Telegram-client. Via Kaspersky

 

Door

Nieuwsredacteur

55 Linkedin Google+

Reacties (55)

Wijzig sortering
Yep mijn gemis, dat wist ik voordat whatsapphack het noemde nog niet :)
Je zou moeten kunnen instellen dat je dat soort ondersteuning niet wilt op jouw systeem.
Als je het niet ondersteunt is er ook misbruik van te maken. Dan krijg je van die situaties dat iets op de computer van de programmeur onschuldig is maar op de computer van de klant een probleem oplevert.
Maak het dan zo dat alleen hele zinnen kunnen worden omgedraaid of whatever. Je kunt niet van mensen verwachten dat ze elke keer voordat ze op een bestand klikken gaan checken of er ergens "sj." in staat. Dat is een enorm beveiligingsrisico.
Maak het dan zo dat alleen hele zinnen kunnen worden omgedraaid of whatever.
Zo werkt taal nu eenmaal. Computers zijn er om mensen te dienen. Als mensen zinnen schrijven waarin sommige woorden de andere kant op worden geschreven, en dat gebeurt, dan zal de computer het moeten ondersteunen.
Maar als je dat in bestandsnamen toestaat in je chatapp ben je alleen maar nieuwe aanvalshoeken aan het maken voor mensen met slechte bedoelingen. zeg nu eerlijk welk praktisch nut dient dat.
Maar als je dat in bestandsnamen toestaat in je chatapp ben je alleen maar nieuwe aanvalshoeken aan het maken voor mensen met slechte bedoelingen. zeg nu eerlijk welk praktisch nut dient dat.
Het praktisch nut is dat mensen vrij met computers kunnen werken zonder na te hoeven denken over de regels van de computer. Zo'n ding is er om ons te dienen, niet andersom.

Dat neemt niet weg dat dit aanvalshoeken opent, maar ik ben bang dat het niet implementeren net zo veel problemen veroorzaakt, tenzij alle software dezelfde beslissing neemt. Als we dat echt willen moeten we Unicode aanpassen om dit teken er uit te halen. Verwachten dat alle software op dezelfde manier afwijkt van de standaard is geen goed plan.
Komt nog bij dat dit niet het enige problematische Unicode-teken is, er zijn er nog veel meer. Als we beginnen aan het standaardiseren van uitzonderingen dan kunnen we niet langer spreken van een standaard.
Misschien dat we het in een een toekomstige versie van Unicode anders kunnen aanpakken. Dat er bijvoorbeeld een "safety-mode" komt. Eerlijk gezegd denk ik dat het een onmogelijke opgave is omdat de mogelijkheden schier oneindig zijn en zeer cultureel bepaald zijn. Het is bijvoorbeeld ook verwarrend dat onze tekens '1', 'i', en 'l' zo veel op elkaar lijken en al helemaal als je zelf een ander alfabet gebruikt. Moeten we die dan maar uit Unicode gooien of onveilig verklaren?
Ik wil een chat app die geen unicode ondersteunt. ascii only. ben je meteen van al het gezeik af over wat men vroeger emoticons noemde. en wat boeit het mij nou of ik chinees of arabisch kan gebruiken. ik ken daar niemand en ik spreek die talen niet.

voor de arabieren en chinezen op deze aarde zal er dan nog wel een andere oplossing moeten worden verzonnen. maar dat mogen ze lekker zelf doen. moet je maar niet de verkeerde kant op schrijven :+

[Reactie gewijzigd door Origin64 op 16 februari 2018 16:23]

Helaas werkt dat niet voor 90% van de wereldbevolking. We hebben het in de vorige eeuw uitgebreid geprobeerd en dat was niet te houden. De hacks die werden uitgespookt om internationale karakters in ASCII te frotten waren nog veel erger dan de nadelen van Unicode.
Tot op de dag van vandaag hebben we te maken met teksten/pagina's die niet goed worden weergegeven en zit het knopje "text encoding" nog altijd op een prominente plek in je browser.
Unicode is een draak, maar beter dan geen Unicode.
Maar ik ken niemand in die 90%. Ik ken ook die talen niet. Geef desnoods de optie om alleen in mijn client unicode 'uit' te zetten en alleen karakters weer te geven die ook in ascii voorkomen , zoals ze in ascii voorkomen. ik verlies dan 0 aan functionaliteit en ben niet meer vatbaar voor deze aanval. en niemand anders heeft er last van.

dat telegram gewoon doodleuk zegt: lol jouw probleem, dat vind ik asociaal.

[Reactie gewijzigd door Origin64 op 16 februari 2018 16:37]

Maar ik ken niemand in die 90%. Ik ken ook die talen niet. Geef desnoods de optie om alleen in mijn client unicode 'uit' te zetten en alleen karakters weer te geven die ook in ascii voorkomen , zoals ze in ascii voorkomen. ik verlies dan 0 aan functionaliteit en ben niet meer vatbaar voor deze aanval. en niemand anders heeft er last van.
Schakel het dan uit op OS-niveau. Ik weet niet hoe het met Windows of OS-X zit, maar onder Linux is het nog wel te doen door je 'locale' instellingen aan te passen. Daar ga je niet gelukkig van worden, maar het kan.
Hahahaha. Windows kan dat echt niet. Het is het wilde westen. Developers mogen dat lekker zelf weten.
Waarom wordt Telegram altijd vergeleken met Whatsapp. Het is een app waar je ook mee kan chatten.

8)7 8)7 8)7 8)7
Maar de Persgroep heeft echt geen invloed op de berichtgeving op tweakers. heus hoor. de redactie is onafhankelijk. Ze weten alleen maar wie hun loon betaalt. _/-\o_


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*