Eksperci z firmy Shielder ujawnili usterkę, która mogła ujawnić tajne wiadomości, zdjęcia i filmy użytkowników zdalnym atakującym.

Telegram nie taki bezpieczny przez stickery?

Badacze z firmy Shielder, zajmującej się bezpieczeństwem cybernetycznym, odkryli krytyczną lukę w aplikacji Telegram do obsługi wiadomości błyskawicznych w wersjach na iOS, Androida i macOS. Eksperci odkryli, że wysłanie tzw. naklejki (sticker) do użytkownika Telegrama mogło ujawnić jego tajne rozmowy, zdjęcia i filmy zdalnym napastnikom.

W 2019 roku Telegram wprowadził animowane naklejki, to był punkt wyjścia do śledztwa ekspertów. Ich uwagę zwrócił folder rlottie, który był używany przez natywną bibliotekę Samsunga do odtwarzania animacji Lottie, pierwotnie stworzoną przez Airbnb.

Czat jakby mniej tajny

Eksperci odkryli wiele błędów wpływających na sposób implementacji funkcji tajnego czatu co w połączeniu z obsługą naklejek przez Telegrama stanowiło okazję dla cyberprzestępców. Atakujący mógł bowiem wykorzystać tę lukę, wysyłając zniekształcone naklejki do niczego niepodejrzewających użytkowników i uzyskując dostęp do wymienianych wiadomości, zdjęć i filmów. I nie miało tu znaczenia czy wymiana informacji była dokonywana na czacie „klasycznym” czy też tajnym.

W raporcie Shieldera czytamy:

Podstawą pracy było badanie formatu animacji lottie, jej integracji z aplikacjami mobilnymi i luk w zabezpieczeniach, które może wyzwolić zdalny atakujący obierając sobie za cel dowolnego użytkownika Telegrama. Badania rozpoczęły się w styczniu 2020 roku i trwały do końca sierpnia, z wieloma przerwami pomiędzy nimi, aby można się także było skupić na innych projektach.

Ekspert twierdzi tak: podczas moich badań zidentyfikowałem w sumie 13 luk w zabezpieczeniach: 1 heap out-of-bounds write, 1 stack out-of-bounds write, 1 stack out-of-bounds read, 2 heap out-of-bound read, 1 integer overflow leading to heap out-of-bounds read, 2 type confusions oraz aż 5 denial-of-service (null-ptr dereferences).

Winna biblioteka Samsunga

Eksperci wzięli na tapetę rlottie z biblioteki C++ firmy Samsung, aby przeanalizować animacje Lottie i sprawdzić występujące awarie. Ta biblioteka była używana przez programistów Telegrama zamiast biblioteki Airbnb. Programiści Telegrama zdecydowali się na rozwidlenie projektu rlottie i utrzymanie wielu jego forków, co sprawiło, że łatanie zabezpieczeń stało się szczególnie trudne. Co więcej, programiści rlottie firmy Samsung nie śledzą problemów z bezpieczeństwem spowodowanych przez niezaufane animacje w ich projekcie, ponieważ nie są one zamierzonym przypadkiem użycia rlottie.

Sprawdź oferty pracy na TeamQuest

Za późno na szukanie zero-day’a

Telegram naprawił już tę lukę, udostępniając aktualizacje zabezpieczeń 30 września i 2 października 2020 roku. Czemu dowiadujemy się o tym dopiero teraz? Shielder postanowił dać deweloperom 90 dni, zanim publicznie ujawni swoje ustalenia, aby użytkownicy mieli czas na zaktualizowanie swoich urządzeń.

Czy to koniec problemów komunikatora? Chyba nie bo w zeszłym tygodniu badacz bezpieczeństwa Dhiraj Mishra zgłosił błąd w aplikacji Telegram w wersji na macOS, który umożliwiał dostęp do autodestrukcyjnych wiadomości audio i wideo długo po tym, jak zniknęły (a raczej „zniknęły”) one z sekretnych czatów.