Новости Интернет Сообщества

Уязвимости в Telegram Bot API позволяет получить доступ к сообщениям

Исследователи обнаружили серьезную уязвимость в популярном мессенджере Telegram. Уязвимость была найдена в Telegram Bot API. Фактически, исследователи также обнаружили, что API заражен вредоносным ПО GoodSender. Telegram ещё не дал никакого ответа по этой теме.

Уязвимость API-интерфейса Telegram Bot

Как сообщалось, недавно исследователи из Forcepoint Security Labs обнаружили недостаток API Telegram Bot, который ведет к нарушению конфиденциальности. Использование этой уязвимости может позволить получить доступ ко всем сообщениям, которые отправляет и получает бот. Предположительно эта уязвимость связана с методом шифрования Telegram Bot API.

Согласно Forcepoint, Telegram использует шифрование MTProto для обычных сообщений. Однако в случае с API-интерфейсами для ботов, все сообщения защищаются только с помощью TLS. Таким образом, злоумышленник может потенциально выполнить MITM-атаки на HTTPS цели, чтобы перехватить сообщения. Все, что нужно, – это получить и использовать определенные фрагменты информации, например токены, которые передаются Bot API.

При обсуждении одного из таких методов, исследователи заявили:

«Тот, кто владеет данными фрагментами информации, может использовать ряд методов, которые можно вызвать из API бота. В нашем случае метод forwardMessage() особенно полезен, поскольку он позволяет пересылать любое сообщение из любого чата, к которому у данного бота есть доступ, произвольному пользователю Telegram. Для этого нам нужен токен API и «исходный» chat_id(либо извлеченный из предыдущих сообщений, отправленных ботом, либо, в случае вредоносного ПО, из бинарного файла) – вместе с «целевым» chat_id (который является нашим собственным идентификатор пользователя) и, наконец, идентификатор сообщения, которое мы хотели бы переслать ».

Хакер может просто использовать эту уязвимость с помощью вредоносного ПО. Фактически, исследователи обнаружили, что вредоносное ПО активно использует уязвимость и использует API бота в качестве канала управления и контроля(C2). Исследовали заявили, что это «GoodSender» – вредоносное ПО для Windows, которое существует уже более года.

О вредоносном ПО «GoodSender»

Как указывается в их отчете, Forcepoint обнаружил вредоносные программы в процессе поиска возможности обхода шифрования Telegram. Они обнаружили так называемый «GoodSender», вредоносную программу, которая написана с помощью технологии .NET, которая широко используется в языке программирования C#, использующую API Telegram бота в качестве канала C&C для получения доступа к сообщениям. Объясняя, как это работает, они заявили:

«После удаления вредоносной программы создается новый пользователь-администратор, включается удаленный доступ, а также обеспечивается защита от брандмауэра. Имя пользователя для нового администратора является статическим, но пароль генерируется случайным образом. Вся эта информация (имя пользователя, пароль и IP-адрес) отправляется оператору через мессенджер Telegram, что обеспечивает оператору доступ к компьютеру жертвы через RDP».

Что касается вектора, который используется для внедрения вредоносного ПО, Forcepoint считают, что, возможно, использовался EternalBlue. Возможно, хакер уже сканировал несколько IP-адресов США и Вьетнама и имеет список уязвимых компьютеров. Исследователи также выяснили, что активность в большей степени наблюдается в США.

Хотя они уже сообщили Telegram об этой уязвимости, ответа ещё нет. Поэтому, пока не будет выпущен патч, исследователи рекомендуют пользователям Telegram избегать использования ботов.

Admin

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Один комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close
101 запросов. 0,605 секунд.