テレグラムは、ハッカーが数か月かけてこの脆弱性を悪用し、脆弱なWindows PCにリモート制御マルウェアや暗号通貨マイナーをインストールしていたデスクトップアプリのセキュリティ欠陥を修正した。
このプログラミング上の欠陥は、カスペルスキーの研究者によって10月に発見されました。少なくとも3月から悪意のある攻撃者がこのバグを悪用していたと考えられています。この脆弱性は、同社のオンラインチャットアプリがヘブライ語やアラビア語など、右から左に読む言語のUnicode文字を処理する方法に起因しています。
JavaScript ファイルがメッセージの添付ファイルとして被害者に送信され、Unicode のバグを悪用してファイル名が.js ドキュメントであることを隠蔽する可能性がある。これにより、被害者は一見安全な.png 添付ファイルを開かされる。Windows は被害者に JavaScript ファイルを開いてもよいか確認するメッセージを表示し、「実行」を選択するか、確認メッセージを表示しないように PC を設定すると、スクリプトが実行され、マルウェアがダウンロードされて実行される。
この悪質なソフトウェアは、バックドアを開いたり、標的を盗聴したり、アルトコインをマイニングしたりといったことが可能です。Telegramは、オープンソースアプリケーションのこのバグを修正したと伝えられています。
「特殊な非印刷右から左へのオーバーライド(RLO)文字は、文字列内でその文字の後に続く文字の順序を逆にするために使用されます」とカスペルスキーのアレクセイ・ファーシュ氏は本日説明した。
「Unicode 文字テーブルでは、これは「U+202E」として表されます。正当な使用例の 1 つは、アラビア語のテキストを入力するときです。
攻撃において、この文字は被害者を欺くために利用される可能性があります。通常、実行ファイルの名前と拡張子を表示するときに使用されます。この種の攻撃に対して脆弱なソフトウェアは、ファイル名を不完全に、あるいは逆順に表示します。
難読化による脆弱性…TelegramのUnicode処理バグを利用して.PNGに偽装された.JSファイル
カスペルスキーのチームは、ハッカーが様々な方法でこの脆弱性を悪用していることを発見しました。まず、被害者を騙してリモートアクセス型のトロイの木馬をインストールさせ、ロシアのサーバーに定期的にpingを送信させ、バックドアを開いて感染システムを遠隔操作できるようにしていました。
現在の傾向に沿って、ハッカーたちはこのセキュリティホールを利用して、Zcash、Fantomcoin、Monero コインを作成するサイバーキャッシュマイニングソフトウェアのコピーを複数インストールしていました。
「この脆弱性を認識していたのはロシアのサイバー犯罪者のみだったようです。私たちが検知したすべての悪用事例はロシアで発生しています。また、これらの攻撃について詳細な調査を行った結果、ロシアのサイバー犯罪者の関与を示唆する多くの証拠を発見しました」とファーシュ氏の勧告には記されている。
Telegram製品のどのバージョンがどのくらいの期間、この脆弱性の影響を受けていたか、正確な情報は把握していません。Windowsクライアントにおける脆弱性の悪用は2017年3月に始まったことは分かっています。Telegramの開発者にこの問題を報告し、Telegram製品ではこの脆弱性は発生しなくなりました。
Telegramに前回の大きな脆弱性が発覚してからまだ1年も経っていないが、そのセキュリティに関する疑問は依然として拭えない。デフォルトでメッセージをエンドツーエンドで暗号化しておらず、独自に開発した暗号技術を使用しているという事実は、専門家を懸念させている。Telegramは自社のソフトウェアは安全だと主張している。
抑圧的な政権下の活動家は、自殺中に誤って自分を殴り殺してしまうことを避けるために、Signal のような、より実績のある方法を使用することを望むかもしれません。®
