جدیدترین اخبار
7 بهمن 1397 ساعت 13:30 دانش و فناوری کد خبر :476615

نقص رمزنگاری در تلگرام، ارتباط بین بدافزار و توسعه‌دهنده‌ آن را فاش کرد

شبکه اجتماعی

وجود ضعف امنیتی در حفاظت از پیام‌های ارسال‌شده توسط API ربات تلگرام، به محققان این اجازه را داد که به جریان ارتباطی بین یک بدافزار و اپراتور آن دسترسی پیدا کنند.

یک برنامه‌ی ساده که با زبان دات‌نت آماده شده و نام GoodSender توسط توسعه‌دهنده‌ی آن برایش انتخاب شده است، جهت ارسال اطلاعات مربوط‌به میزبان‌های آلوده‌شده به اپراتور خود، از شبکه تلگرام استفاده می‌کند و نفوذگر این قابلیت را خواهد داشت که از راه دور به قربانیان خود متصل شود. محققان مرکز Forcepoint در هنگام بررسی بدافزار GoodSender متوجه شدند که این API ربات تلگرام از یک سطحِ ضعیف‌تر حفاظتی برای انتقال پیغام‌ها و دستورهای خود استفاده می‌کند. همچنین اعلام کردند که ارتباط بین کاربران تلگرام که با استفاده از پروتکل رمزنگاری MTProto توسط ترافیک TLS صورت می‌گیرد، امن است اما پیام‌های API ربات تنها توسط لایه HTTPS محافظت می‌شود. همان‌طور که TLS به‌تنهایی برای تضمین رمزنگاری قوی با استفاده از استانداردهای ارتباطی امن امروزی کافی نیست، این لایه رمزنگاری درکنار پروتکل‌های رمزنگاری دیگر همچون MTProto در تلگرام یا پروتکل Signal در پیام‌رسان سیگنال مورد استفاده قرار می‌گیرد.

به گفته‌ی محققان، توکن API ربات و شناسه تصادفی ایجادشده برای چت، همواره باید در هنگام ارتباط کاربران به‌درستی ساخته شده و مورد استفاده قرار بگیرد؛ بخش اول اطلاعات مورد نیاز توسط خود API ربات تلگرام آماده می‌شود؛ در حالی‌که بخش دوم در درخواست‌های API ربات ارسال می‌گردد. در ادامه توضیحات Forcepoint می‌خوانیم که به علت استفاده‌ی آن از سطح پایین‌تری از رمزنگاری ارتباطات، نفوذگران توانایی به‌دست آوردن چند بخش کلیدی از اطلاعات پیام‌های در حال انتقال را خواهند داشت و نه‌تنها پیام‌های در حال انتقال را به‌دست می‌آورند، بلکه می‎‎توانند تاریخچه کامل پیام‌های ربات را هم بازیابی کنند.

دریافت کل رخدادهای مربوط‌به چت ربات توسط متد forwardMessage امکان‌پذیر است که می‌تواند به هر کاربر پیام هایی را که ربات به آن دسترسی دارد، ارسال کند. پیام‌ها با شناسه‌های افزایشی از صفر شروع می‌شوند و این اجازه را می‌دهد که تمام پیام‌ها را در یک گروه شناسایی کند و آن‌ها را به یک کاربر دلخواه منتقل کند. ربات‌های تلگرام می‌توانند برای کارهای مختلفی مورد استفاده قرار بگیرند؛ از قابلیت ادغام با سایر خدمات، پذیرش پرداخت از دیگر کاربران تلگرام تا ایجاد هشدار و اتصال افراد براساس منافع مشترک. محققان Forcepoint تیم تلگرام را از این موضوع مطلع کرده‌اند و همچنین به کاربران تلگرام پیشنهاد داده‌اند که از ربات تلگرام استفاده نکنند و از عضویت در گروه‌ها یا کانال‌هایی که از ربات تلگرام استفاده می‌کنند، اجتناب کنند.

این بدافزار دارای عملکردهای خطرناکی می‌باشد. GoodSender با فعال کردن قابلیت اتصال از راه دور (Remote Desktop) روی سیستم قربانی توسط ساخت یک کاربر با سطح دسترسی مدیر روی سیستم و خارج کردن درگاه آن از بین درگاه‌های مسدودشده توسط دیوارآتش، این امکان را به نفوذگر می‌دهد که از راه دور توانایی اتصال به سیستم قربانی را داشته باشد. سپس کانال مربوط‌به آن ربات برای ارسال آدرس IP، نام کاربری و رمز عبور کاربر مدیر سیستم مورد استفاده قرار می‌گیرد. اما روش رمزنگاری مورد استفاده در API ربات تلگرام این اجازه را به محققان می‌دهد که ارتباطات GoodSender را به یک حساب کاربری دلخواه تلگرام انتقال دهند و جزییات مربوط‌به آن ارتباط را به‌دست آورده و مورد بررسی قرار دهند. محققان در بررسی‌های خود موفق شدند یکی از ماشین مجازی‌های مربوط‌به نویسنده بدافزار را پیدا کرده، آدرس IP آن را همراه‌با اطلاعات شخصی و حساب کاربری تلگرام او را به‌دست بیاورند. در ادامه‌ی بررسی‌ها مشخص شد که این ربات، بخشی از یک بدافزار دیگر با نام RTLBot بوده و ساختار ابتدایی ساخت آن در کامپیوتر شخصی توسعه‌دهنده‌ی بدافزار وجود داشته است. همچنین در تاریخ ۲۰ فوریه، نویسنده بدافزار، آن را به سرویس ابری وب آمازون (AWS) انتقال داده و GoodSender از تاریخ ۱ آوریل شروع به کار کرده است.

محققان به‌طور یقین نمی‌توانند اعلام کنند که این بدافزار از چه روشی برای انتشار خود استفاده کرده است، اما به احتمال بسیار بالا، توسعه‌دهندگان این بدافزار از پویشگر رایگان آسیب‌پذیری EternalBlue برای کشف سیستم‌های آسیب‌پذیر و نفوذ به آن‌ها و انتشار بدافزار استفاده کرده‌اند. داده‌های تله‌متری نشان می‌دهد که حداقل ۱۲۰ سیستم با GoodSender آلوده شده‌اند که اکثر آن‌ها در کشور آمریکا و ویتنام بوده‌اندهمچنین امکان آلوده شدن سیستم‌ها در نقاط دیگر دنیا نیز وجود دارد.

Ad

Ad
Ad

روی خط خبر

  • تبلیغ گروه راک «کلد پلی» با شاه بیتِ سعدی
  • الجبیر: طبق “شواهد موجود” ایران مسئول حمله به تاسیسات آرامکو است
  • ۲۴ ساعته شدن ارایه خدمات اورژانس اجتماعی در استان تهران
  • فراخوان سی و هشتمین جشنواره فجر منتشر شد
  • افزایش حجم زباله در کربلا همزمان با جمع‌آوری موکب‌ها
  • حامد زمانی ممنوع الصدا شد؟
  • دادگاه انگلیس درخواست وکلای مسس ویکی لیکس را رد کرد
  • دادستان گرگان: دادگاه مفسد فی‌الارض بودن متهمان پرونده لیزینگ خودرو شرکت پرهام آزادشهر را رد کرد
  • دادستان اراک: ۲۱ نفر از کارگران آذرآب بازداشت شدند
  • توسعه اقتصاد غیرنفتی یکی از اهداف وزارت خارجه است
  • حقوق مهرماه بازنشستگان امشب واریز می‌شود
  • راه‌اندازی ۱۶ کمپ ترک اعتیاد به اینترنت و گوشی در کره جنوبی
  • سند تحول آموزش و پرورش هنوز روی کاغذ است
  • تولید گاز طبیعی آمریکا رکورد زد
  • قیمت دلار، امروز ۱۳۹۸/۰۷/۲۹
  • رئیس کمیسیون اصل نود: گزارش سانحه هواپیمای تهران-یاسوج ظرف دو ماه آینده در مجلس قرائت می‌شود
  • انتقاد سعید سعیدی از دستمزد هنگفت بازیگران
  • ستاد احیا: رهاسازی آب سدها به دریاچه ارومیه از آبان ماه آغاز می شود
  • دانشگاه تربیت مدرس: شیوه‌نامه اجرایی فرهنگ حجاب و عفاف تصویب شد
  • کالاهای اساسی را اینترنتی نخرید
  • دستور آیت‌الله رئیسی برای ایجاد اردوگاه‌های بازپروری معتادان
  • افزایش ۷ درصدی سرعت متوسط خودروها و ۸.۵ درصدی استفاده از مترو
  • هدیه طلا در ازای تحویل زباله در اندونزی
  • سخنگوی دولت: تا زمانی که مردم احساس نکنند رای شان معنایی دارد انگیزه رای دادن نمی یابند
  • خبر مهم برای بدهکاران بانکی
  • سفر خانوادگی با قطار چه مزایایی دارد؟
  • ادعای برنده بوکر ۲۰۱۹ درباره نویسندگان سیاهپوست
  • معافیت‌های مالیاتی باید براساس منطق باشد
  • صدور اخطاریه قانونی برای ۲۰۰ واحد آلاینده شهرستان ری
  • نصب 22 دستگاه‌ شتاب نگاشت زلزله در تهران به زودی
  • Ad