Мобильный Контент
iosAndroidWindows PhoneTizenBlackberry
— Приложения и игры Android, iPhone, iPad. Аналитика. Реклама.

В Telegram обнаружена критическая уязвимость

14 февраля, 2018
Команда Павла Дурова сообщает о ликвидации критической «дыры» в безопасности защищенного мессенджера, которой пользовались хакеры для установки приложения для майнинга и бэкдоров на компьютеры пользователей. Брешь была выявлена в версии Telegram для настольных компьютеров. Уязвимость позволяла менять имена присоединяемых файлов с использованием Unicode.

Хакеры, используя особенности кодировки Unicode, смогли поменять порядок следования символов в именах файлов. Вместо традиционного для многих языков мира «слева направо», имена читались «справа налево». Злоумышленники воспользовались форматированием *U+202E* из Unicode, позволяющим показать символы в обратном стандартном порядке, то есть справа налево.

В результате, Telegram для Windows конвертировал очевидно подозрительные имена файлов вроде «photo_high_regnp.js» (исполняемый скрипт на языке JavaScript) в безобидный «photo_high_resj.png», т.е. безопасный файл изображение в формате .png, а не потенциально вредоносный исполняемый код.

Хакерские атаки с использованием особенностей форматировании в Unicode, меняющих порядок символов на противоположный, были зафиксированы еще в 2009 году. Четыре года назад был зафиксирован всплеск эксплуатации этой уязвимости на платформах Windows и macOS.

Узнай 15 секретных функций Telegram, известных немногим.

Сообщается, что хакеры, воспользовавшиеся уязвимостью в Telegram, связаны с криминальными групиировками в России. На компьютеры жертв устанавливалось два типа вредоносного программного обеспечения. Ничего не подозревающие пользователи мессенджера неожиданно для себя начинали майнить криптовалюту для хакеров. Во втором случае уязвимость позволяла установить на компьютер приложение-бэкдор, предоставлявший хакерам удаленный доступ к взломанной машине.

Пока точно неизвестно, когда Telegram ликвидировал уязвимость. Для активации майнера или шпионского ПО, пользователь мессенджера должен был подтвердить запуск скрипта как на скриншоте ниже.

Уязвимость приложения Telegram

Пользователи приложения Telegram на iPhone, Android или macOS могут не беспокоится, поскольку уязвимость экспертами обнаружена только в версии мессенджера для Windows.

.

Постоянный адрес публикации: http://www.procontent.ru/news/31118.html

Фотографии статьи:
В Telegram обнаружена критическая уязвимость В Telegram обнаружена критическая уязвимость
Все фото →


Издатель: Procontent.ru , источник: ARS Technica  
RSS-подписка на новости рубрики

Главные новости:

Обзор аркады Pizza City Driver на Android: воксельный «кармагеддон» c брутальной доставкой пиццы Обзор аркады Pizza City Driver на Android: воксельный «кармагеддон» c брутальной доставкой пиццы
Telegram может привлечь 2,6 млрд $ в рамках ICO: все о криптовалюте «ГРАМ» Telegram может привлечь 2,6 млрд $ в рамках ICO: все о криптовалюте «ГРАМ»
ММОРПГ на Андроид: обзор лучших игр за 2017 год (топ-15) ММОРПГ на Андроид: обзор лучших игр за 2018 год (топ-35)
Обзор бегалки Temple of Spikes: самая жесткая казуалка App Store [Android и iPhone] Обзор бегалки Temple of Spikes: самая жесткая казуалка App Store [Android и iPhone]
Lichtspeer: обзор яркой и веселой «стрелялки» на iPhone про метание божественных копий Lichtspeer: обзор яркой и веселой «стрелялки» на iPhone про метание божественных копий
Как скачать и установить Viber на компьютер: инструкция на русском [Windows] Как скачать и установить Viber на компьютер: инструкция на русском [Windows]
Обзор головоломки Death Squared: оригинальный инди-хит на iPhone и iPad Обзор головоломки Death Squared: оригинальный инди-хит на iPhone и iPad
Приложения для криптовалют на iPhone: курсы, биржи, торговля, биткоин и альткоины Приложения для криптовалют на iPhone: курсы, биржи, торговля, биткоин и альткоины




+ Добавить обзор




Актуальные темы:

Telegram может привлечь 2,6 млрд $ в рамках ICO: все о криптовалюте «ГРАМ» Telegram может привлечь 2,6 млрд $ в рамках ICO: все о криптовалюте «ГРАМ»
ММОРПГ на Андроид: обзор лучших игр за 2018 год (топ-35) ММОРПГ на Андроид: обзор лучших игр за 2018 год (топ-35)
Обзор бегалки Temple of Spikes: самая жесткая казуалка App Store [Android и iPhone] Обзор бегалки Temple of Spikes: самая жесткая казуалка App Store [Android и iPhone]
Lichtspeer: обзор яркой и веселой «стрелялки» на iPhone про метание божественных копий Lichtspeer: обзор яркой и веселой «стрелялки» на iPhone про метание божественных копий
Как скачать и установить Viber на компьютер: инструкция на русском [Windows] Как скачать и установить Viber на компьютер: инструкция на русском [Windows]
Обзор головоломки Death Squared: оригинальный инди-хит на iPhone и iPad Обзор головоломки Death Squared: оригинальный инди-хит на iPhone и iPad
Приложения для криптовалют на iPhone: курсы, биржи, торговля, биткоин и альткоины Приложения для криптовалют на iPhone: курсы, биржи, торговля, биткоин и альткоины