Уязвимости в Telegram Bot API позволяет получить доступ к сообщениям

Уязвимость API-интерфейса Telegram Bot

Как сообщалось, недавно исследователи из Forcepoint Security Labs обнаружили недостаток API Telegram Bot, который ведет к нарушению конфиденциальности. Использование этой уязвимости может позволить получить доступ ко всем сообщениям, которые отправляет и получает бот. Предположительно эта уязвимость связана с методом шифрования Telegram Bot API.

Согласно Forcepoint, Telegram использует шифрование MTProto для обычных сообщений. Однако в случае с API-интерфейсами для ботов, все сообщения защищаются только с помощью TLS. Таким образом, злоумышленник может потенциально выполнить MITM-атаки на HTTPS цели, чтобы перехватить сообщения. Все, что нужно, – это получить и использовать определенные фрагменты информации, например токены, которые передаются Bot API.

При обсуждении одного из таких методов, исследователи заявили:

«ТОТ, КТО ВЛАДЕЕТ ДАННЫМИ ФРАГМЕНТАМИ ИНФОРМАЦИИ, МОЖЕТ ИСПОЛЬЗОВАТЬ РЯД МЕТОДОВ, КОТОРЫЕ МОЖНО ВЫЗВАТЬ ИЗ API БОТА. В НАШЕМ СЛУЧАЕ МЕТОД FORWARDMESSAGE() ОСОБЕННО ПОЛЕЗЕН, ПОСКОЛЬКУ ОН ПОЗВОЛЯЕТ ПЕРЕСЫЛАТЬ ЛЮБОЕ СООБЩЕНИЕ ИЗ ЛЮБОГО ЧАТА, К КОТОРОМУ У ДАННОГО БОТА ЕСТЬ ДОСТУП, ПРОИЗВОЛЬНОМУ ПОЛЬЗОВАТЕЛЮ TELEGRAM. ДЛЯ ЭТОГО НАМ НУЖЕН ТОКЕН API И «ИСХОДНЫЙ» CHAT_ID(ЛИБО ИЗВЛЕЧЕННЫЙ ИЗ ПРЕДЫДУЩИХ СООБЩЕНИЙ, ОТПРАВЛЕННЫХ БОТОМ, ЛИБО, В СЛУЧАЕ ВРЕДОНОСНОГО ПО, ИЗ БИНАРНОГО ФАЙЛА) – ВМЕСТЕ С «ЦЕЛЕВЫМ» CHAT_ID (КОТОРЫЙ ЯВЛЯЕТСЯ НАШИМ СОБСТВЕННЫМ ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ) И, НАКОНЕЦ, ИДЕНТИФИКАТОР СООБЩЕНИЯ, КОТОРОЕ МЫ ХОТЕЛИ БЫ ПЕРЕСЛАТЬ »

Хакер может просто использовать эту уязвимость с помощью вредоносного ПО. Фактически, исследователи обнаружили, что вредоносное ПО активно использует уязвимость и использует API бота в качестве канала управления и контроля(C2). Исследовали заявили, что это «GoodSender» – вредоносное ПО для Windows, которое существует уже более года.

О вредоносном ПО «GoodSender»

Как указывается в их отчете, Forcepoint обнаружил вредоносные программы в процессе поиска возможности обхода шифрования Telegram. Они обнаружили так называемый «GoodSender», вредоносную программу, которая написана с помощью технологии .NET, которая широко используется в языке программирования C#, использующую API Telegram бота в качестве канала C&C для получения доступа к сообщениям. Объясняя, как это работает, они заявили:

«ПОСЛЕ УДАЛЕНИЯ ВРЕДОНОСНОЙ ПРОГРАММЫ СОЗДАЕТСЯ НОВЫЙ ПОЛЬЗОВАТЕЛЬ-АДМИНИСТРАТОР, ВКЛЮЧАЕТСЯ УДАЛЕННЫЙ ДОСТУП, А ТАКЖЕ ОБЕСПЕЧИВАЕТСЯ ЗАЩИТА ОТ БРАНДМАУЭРА. ИМЯ ПОЛЬЗОВАТЕЛЯ ДЛЯ НОВОГО АДМИНИСТРАТОРА ЯВЛЯЕТСЯ СТАТИЧЕСКИМ, НО ПАРОЛЬ ГЕНЕРИРУЕТСЯ СЛУЧАЙНЫМ ОБРАЗОМ. ВСЯ ЭТА ИНФОРМАЦИЯ (ИМЯ ПОЛЬЗОВАТЕЛЯ, ПАРОЛЬ И IP-АДРЕС) ОТПРАВЛЯЕТСЯ ОПЕРАТОРУ ЧЕРЕЗ МЕССЕНДЖЕР TELEGRAM, ЧТО ОБЕСПЕЧИВАЕТ ОПЕРАТОРУ ДОСТУП К КОМПЬЮТЕРУ ЖЕРТВЫ ЧЕРЕЗ RDP»

Что касается вектора, который используется для внедрения вредоносного ПО, Forcepoint считают, что, возможно, использовался EternalBlue. Возможно, хакер уже сканировал несколько IP-адресов США и Вьетнама и имеет список уязвимых компьютеров. Исследователи также выяснили, что активность в большей степени наблюдается в США.

Хотя они уже сообщили Telegram об этой уязвимости, ответа ещё нет. Поэтому, пока не будет выпущен патч, исследователи рекомендуют пользователям Telegram избегать использования ботов.