پیام‌رسان تلگرام این بار در معرض آسیب‌پذیری RLO

پیام رسان ها به یکی از اصلی ترین ابزارهای ارتباطی در میان مردم تبدیل شده و سواستفاده جویان این پیام رسان ها را مقصد خوبی برای دسترسی به اطلاعات کاربران می دانند. هنوز مدت زمان زیادی از انتشار نسخه مخرب تماس صوتی و تصویری تلگرام نگذشته است، که حالا خبر از نوع جدیدی از بدافزار که نسخه دسکتاپ تلگرام را مورد هدف قرار داده، شنیده می شود. اخیراً تروجان اندرویدی Skygofree، از شبکه های اجتماعی فیسبوک، اسکایپ، وایبر و واتساپ جاسوسی می‌کرد، حالا آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که دسکتاپ ها  را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود. مرکز ماهر در خصوص این آسیب پذیری توضیحاتی ارائه داده است که در ادامه آن را با شما به اشتراک خواهیم گذاشت.

در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicode نیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند. به عنوام مثال مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوا اسکریپت با پسوند JS است که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد: (cute_kitten*U+202E*gnp.js.)، در اینجا U + 202Eهمان کاراکتر Unicode است که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است: (cute_kittensj.png). حال به نظر می‌رسد پسوند فایل PNG و یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوا اسکریپت است.

RLO چیست؟

استفاده از Unicode برای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما این اولین باری است که در تلگرام استفاده شده است و معلوم شده است که کار هم می‌کند. این آسیب‌پذیری RLO یا همان Right to Left Override نام دارد.

چه دستگاه هایی در معرض آسیب پذیری RLO قرار دارند؟

آسیب‌پذیری RLO تنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.

RLO چه بلایی بر سر سیستم میاورد؟

پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد. گزینه‌ی کاویدن مخفیانه (hidden mining) سرعت رایانه را بسیار پایین می‌آورد و باعث می‌شود رایانه تمام توان خود را صرف استخراج ارز مجازی برای مهاجمان ‌کند. تمرکز اصلی کلاهبرداران بر استخراج  Monero، Zcashو Fantomcoin است. گزینه‌ی دوم نصب درب‌پشتی (backdoor) است که به مجرمان اجازه می‌دهد کنترل رایانه را از راه دور به‌دست گیرند و هر کاری می‌خواهند با آن بکنند (مانند نصب و حذف برنامه‌ها و جمع‌آوری اطلاعات شخصی). چنین آلودگی می‌تواند تا مدت‌ها در دستگاه مخفی بماند بدون آنکه کسی به حضور آن پی ببرد.

پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد.

چگونه در معرض آسیب پذیری های مشابه قرار نگیریم؟

برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود:

• عدم دانلود از منابع ناشناس
• توجه به هشدارهای سیستمی زمان بازکردن یک فایل
• نصب یک آنتی‌‌ویروس قابل اعتماد