Cerca nel blog

2018/02/16

Aggiornate Telegram per Windows: ha una falla

Fonte: Kaspersky Lab.
Ultimo aggiornamento: 2018/02/16 17:45.

Un altro esempio (dopo Skype) dell’importanza di aggiornare il software arriva da Telegram. I ricercatori di Kaspersky hanno scoperto che la versione Windows di questa popolare app di messaggistica aveva una falla che permetteva agli aggressori informatici di prendere il controllo dei PC e installare malware e programmi per la generazione di criptovalute.

Gli attacchi sono in corso almeno da marzo 2017 e derivano da un difetto nella gestione delle lingue che si scrivono da destra a sinistra. Il difetto era sfruttabile, e veniva attivamente sfruttato, inviando alla vittima semplicemente un allegato che sembrava essere un’immagine ma era in realtà un JavaScript ostile che veniva eseguito sui PC privi di difese.

Per esempio, il nome vero dell’allegato poteva essere photo_high_regnp.js, quindi un JavaScript, ma veniva presentato all’utente bersaglio come photo_high_resj.png (in modo da sembrare un’immagine PNG) perché dopo photo_high_re c’era il carattere Unicode U+202E che inverte l’ordine dei caratteri che lo seguono, per cui gnp.js viene visualizzato come sj.png. Ingegnoso.

La falla è risolta nella versione più recente di Telegram, per cui il modo migliore per risolverla è aggiornarsi.

A parte questo scivolone, è importante ricordare che Telegram non cifra i messaggi in modo client-client (molto difficile da intercettare) se non glielo chiedete appositamente usando una chat segreta (secret chat) e usa un protocollo di sicurezza ritenuto insicuro dagli esperti. Per carità, per l’utente comune usare Telegram consente una maggiore privacy rispetto a WhatsApp (che cifra tutto end-to-end ma prende i metadati dell’utente e li condivide con Facebook). Se avete esigenze davvero serie, provate Signal.

8 commenti:

Sciking ha detto...

Più che altro unisce una gran comodità (messaggi dappertutto) ad una relativa sicurezza, che non è decisamente totale...

Patrick Costa ha detto...

Signal mi manca ancora... comunque PASSO... (per fortuna non ho esigenze di servizio/vita così alte da dover essere CERTO di inviare messaggi realmente protetti).

bznein ha detto...

Piccolezza: direi che il carattere U+202E è dopo photo_high_re, non photo_high_res (altrimenti avremmo una s di troppo)

Paolo Attivissimo ha detto...

bznein,

naturalmente hai ragione: ho corretto, grazie.

gianfrancesco pagliarini ha detto...

Per fortuna Telegram si aggiorna automaticamente all'avvio, almeno su Linux, ma penso che su windows faccia lo stesso.

MacLo ha detto...

Anche se..in teoria: "The paper does not elaborate on an exploit or attack to gain access to clear text messages or keys"..

Paro ha detto...

Ultimo aggiornamento: 201/02/16 17:45.
Direi che manca un 8, sennò saresti "avantissimo" al posto di Attivissimo!
Sempre un ottimo servizio, grazie Paolo!

Paolo Attivissimo ha detto...

Paro,

refuso sistemato, grazie!