Мобильный Контент
iosAndroidWindows PhoneTizenBlackberry
— Приложения и игры Android, iPhone, iPad. Аналитика. Реклама.

В Telegram обнаружена критическая уязвимость

14 февраля, 2018
Команда Павла Дурова сообщает о ликвидации критической «дыры» в безопасности защищенного мессенджера, которой пользовались хакеры для установки приложения для майнинга и бэкдоров на компьютеры пользователей. Брешь была выявлена в версии Telegram для настольных компьютеров. Уязвимость позволяла менять имена присоединяемых файлов с использованием Unicode.

Хакеры, используя особенности кодировки Unicode, смогли поменять порядок следования символов в именах файлов. Вместо традиционного для многих языков мира «слева направо», имена читались «справа налево». Злоумышленники воспользовались форматированием *U+202E* из Unicode, позволяющим показать символы в обратном стандартном порядке, то есть справа налево.

В результате, Telegram для Windows конвертировал очевидно подозрительные имена файлов вроде «photo_high_regnp.js» (исполняемый скрипт на языке JavaScript) в безобидный «photo_high_resj.png», т.е. безопасный файл изображение в формате .png, а не потенциально вредоносный исполняемый код.

Хакерские атаки с использованием особенностей форматировании в Unicode, меняющих порядок символов на противоположный, были зафиксированы еще в 2009 году. Четыре года назад был зафиксирован всплеск эксплуатации этой уязвимости на платформах Windows и macOS.

Узнай 15 секретных функций Telegram, известных немногим.

Сообщается, что хакеры, воспользовавшиеся уязвимостью в Telegram, связаны с криминальными групиировками в России. На компьютеры жертв устанавливалось два типа вредоносного программного обеспечения. Ничего не подозревающие пользователи мессенджера неожиданно для себя начинали майнить криптовалюту для хакеров. Во втором случае уязвимость позволяла установить на компьютер приложение-бэкдор, предоставлявший хакерам удаленный доступ к взломанной машине.

Пока точно неизвестно, когда Telegram ликвидировал уязвимость. Для активации майнера или шпионского ПО, пользователь мессенджера должен был подтвердить запуск скрипта как на скриншоте ниже.

Уязвимость приложения Telegram

Пользователи приложения Telegram на iPhone, Android или macOS могут не беспокоится, поскольку уязвимость экспертами обнаружена только в версии мессенджера для Windows.

.

Постоянный адрес публикации: http://www.procontent.ru/news/31118.html

Фотографии статьи:
В Telegram обнаружена критическая уязвимость В Telegram обнаружена критическая уязвимость
Все фото →


Издатель: Procontent.ru , источник: ARS Technica  
RSS-подписка на новости рубрики

Главные новости:

Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений
Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone] Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone]
WhatsApp будет тщательнее обращаться с эротическими фото; критика мессенджера WhatsApp будет тщательнее обращаться с эротическими фото; критика мессенджера
Facebook Libra: все о криптовалюте для WhatsApp, Messenger, Facebook и Instagram Facebook Libra: все о криптовалюте для WhatsApp, Messenger, Facebook и Instagram
Обзор Warriors of Waterdeep: «мягкая» РПГ на телефон по классическим D&D правилам [Android и iOS] Обзор Warriors of Waterdeep: «мягкая» РПГ на телефон по классическим D&D правилам [Android и iOS]
WhatsApp никогда не будет защищенным: критика от создателя Telegram WhatsApp никогда не будет защищенным: критика от создателя Telegram
Обзор Gardens Between: умная головоломка и захватывающая адвенчура [iPhone] Обзор Gardens Between: умная головоломка и захватывающая адвенчура [iPhone]
Обзор Android Q Beta 1: что нового Обзор Android Q Beta 1: что нового


+ Добавить обзор




Актуальные темы:

Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений
iOS 13: обзор новых функций безопасности и защиты личных данных iOS 13: обзор новых функций безопасности и защиты личных данных
«Дыра» в WhatsApp и Telegram позволила хакерам воровать фото, видео и документы «Дыра» в WhatsApp и Telegram позволила хакерам воровать фото, видео и документы
«Номы!» - обзор кавайной игры на телефон с безжалостным F2P [Android и iPhone] «Номы!» - обзор кавайной игры на телефон с безжалостным F2P [Android и iPhone]
Harry Potter: Wizards Unite - обзор бесплатной игры на телефон в стиле Pokemon GO Harry Potter: Wizards Unite - обзор бесплатной игры на телефон в стиле Pokemon GO
Обзор минутной аркады MINIT: 60-секундное приключение на iPhone Обзор минутной аркады MINIT: 60-секундное приключение на iPhone
Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone] Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone]