Русскоязычные хакеры научились воровать переписку в Telegram
По сведениям экспертов по безопасности фирмы Talos, обнаруживших проблему, за две недели злоумышленники выпустили сразу две вредоносные программы, атаковавшие Telegram. Первая воровала реквизиты доступа и файлы cookie из браузера, вторая научилась воровать кэш Telegram, содержащий данные переписки, файлы ключей шифрования (а заодно и реквизиты доступа к Steam). Все эти данные вредоносная программа загружает на несколько аккаунтов сервиса pcloud.com - причём в незашифрованном виде.
Злоумышленник - а исследователи с высокой долей вероятности установили его личность - выбрали в качестве мишени именно десктоп-версию Telegram потому, что она не поддерживает функцию Secret Chats (секретные чаты) и имеет довольно слабые настройки по умолчанию. При этом вредонос не атакует никаких уязвимостей, эксплуатируются лишь архитектурные особенности.
Согласно пояснениям разработчиков Telegram, секретные чаты требуют наличия постоянного хранилища данных на устройстве; на данный момент эта функция не поддерживается на десктопной и веб-версии. На них содержание чатов подтягивается из облака и сбрасывается при отключении клиента. Секретные чаты не хранятся в облаке, поэтому они бы исчезали с каждым отключением компьютера. При этом автоматического разлогинивания в десктоп-версии Telegram не реализовано. Комбинацию этих особенностей и использует вредонос.Исследователям удалось найти видеоруководство, описывающее, как получить доступ и использовать кэш Telegram для перехвата сессий. Для этого нужно «восстановить» кэш и map-файлы, в которых хранятся ключи шифрования, в существующую установку Telegram на десктопе в то время как открыта сессия.
В конечном итоге злоумышленник может получить доступ к текущей сессии пользователя, его контактам и прошлым чатам.
Фото с сайта zdnet.com
