6n38vws5bx ru keepcoder telegram что это

Обновлено: 03.01.2025

Главная угроза цифровизации — не нехватка бюджетов и даже не технологическое отставание. Куда большей бедой для развития бизнесов по всему миру стали киберпреступники и взятые ими на вооружение программы-вымогатели. В июле 2020 года ежедневно фиксировались 2300 случаев заражения устройств таким ПО. Спустя всего полгода эта цифра выросла более чем в 7 раз — до 17200 устройств.

Что нужно знать о тактиках злоумышленников, чтобы спасти свой бизнес?
Каким компаниям киберпреступники угрожают в первую очередь и какие цели они преследуют?
Какими будут последствия заражения, кроме необходимости платить выкуп?

Зарегистрируйтесь, чтобы скачать исследование компании Fortinet о программах-вымогателях и основных проблемах, которые они вызывают.

Компании все чаще становятся жертвами программ-вымогателей. Любая автоматизация расширяет поверхность атаки. Чем более успешной она окажется, тем большей окажется сумма ущерба для бизнеса. Наибольшей проблемой становятся атаки с использованием электронной почты, а также эксплойты уязвимостей «нулевого дня» и компрометация авторизованных цепочек доставки.

Можно ли прекратить атаку хакеров когда она только-только разворачивается?
Какие векторы атак чаще всего используют киберпреступники?
Чем могут помочь шлюзы защиты почты и межсетевые экраны?

Зарегистрируйтесь, чтобы скачать обзор Fortinet о решениях, которые помогают отражать атаки программ-вымогателей.

Программа XCSSET, изначально атакующая разработчиков ПО для macOS, обзавелась функциями кражи данных из множества приложений. Одна из причин — недостатки «песочницы» macOS.

В прицеле Telegram

Эксперты Trend Micro опубликовали исследование, посвященное вредоносной программе XCSSET. Она уже более года атакует системы под macOS. Основной метод проникновения в систему — инъекция вредоносного кода в локальные проекты Xcode по разработке ПО для macOS. Вредонос начинает срабатывать после компиляции проекта.

XCSSET постепенно обрастает новой функциональностью, и в недавних версиях добавилась возможность красть данные из клиентов Telegram и пароли, хранящиеся в Google Chrome.

Для кражи данных из Telegram вредонос создает архив telegram.applescript в папке keepcoder.Telegram (в Group Containers). Как выяснили эксперты Trend Micro, достаточно скопировать весь каталог

Вредонос под macOS ворует данные из Telegram и Google Chrome

«В macOS папка “песочницы” для приложений —

/Library/GroupContainers/com.xxx.xxx — доступна обычным пользователям с правами на чтение и запись. Этим она отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт может украсть все данные, хранящиеся в папке “песочницы”, — говорится в исследовании TrendMicro. — Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных в папке “песочницы”, особенно тех, что связаны с логинами».

Chrome и другие

Эксперты также проанализировали метод кражи паролей, хранящихся в Google Chrome. Этот метод известен как минимум с 2016 г. Он предполагает получение ключа безопасного хранения (Safe Storage Key) к Chrome, который сам располагается в пользовательской связке ключей.

Тут на помощь злоумышленникам приходит социальная инженерия: с помощью обманного диалогового окна у пользователя выманиваются административные привилегии, так что злоумышленники могут расшифровать все пароли к Chrome и вывести их на удаленный сервер.

XCSSET содержит скрипты для кражи данных из таких приложений как «Контакты», «Заметки», Evernote, Opera, Skype и WeChat. Кроме того, эксперты обнаружили модуль для атаки межсайтового скриптинга на экспериментальный браузер Chrome Canary. XCSSET срабатывает на последней версии macOS под названием BigSur.

«По большому счету, речь идет о крупной проблеме с безопасностью реализации Telegram в macOS и недостаточности защиты “песочницы”, - говорит Алексей Водясов, технический директор компании SEC Consult Services. — Клонировать аккаунт простым копированием всего каталога не должно быть возможно в принципе. Вдобавок возникают вопросы к настройкам “песочницы” в macOS. С другой стороны, сперва необходимо занести в систему вредоносную программу, а в macOS немало средств для борьбы с этим. Сторонние антивирусы под macOS также детектируют XCSSET».

комментарии ( 95 )

А ещё и кеш на Android, даже при включенном

Откуда пошла эта ~~истерия~~ озабоченность секретностью? Годами пользовались аськой, смс, да тот же вк. И никого не волновало где там что хранится и как

PGP, и связанная с ним истерия, появились намного раньше Сноудена и РКН.

Именно истерия появилась на фоне вот этого вот всего. А раньше этим занимались либо бородатые чуваки, которые шарили, либо люди, для которых секретность могла жизни стоить.

приложение Telegram Desktop не защищает шифрованием локальную копию переписки

В версии для macOS поддержка секретных чатов есть с самого начала. Нету. В Telegram Desktop для любой платформы их нет. Есть в Telegram for MacOS, но это НЕ Telegram Desktop, это отдельное приложение написанное на swift. Но тогда и на скриншотах это не Telegram Desktop, а Telegram for macOS.

Я пока убрал абзац про секретные чаты из статьи, так как не еще нашел подтверждения этой информации в оригинальном источнике.

UPD. Сейчас переформулирую и верну
UPD 2. Вернул.

Опять ошибочно. Telegram desktop для macOS также не имеет поддержки секретных чатов. Как впрочем и версия для любой другой ОС

заголовок то тоже поправьте. ничего там не предположительно. на скриншотах явно telegram for macos ( ru.keepcoder.Telegram как-бе намекает) Кэш переписки телеграмма, это самое меньшее что меня волнует в моих файлах на диске, поэтому и шифрую весь диск. :)

Не вижу тут какой-то серьёзной проблемы.

Тут смысл в том, что приложение никак не уведомляет пользователя о том, что локально хранит его переписку и прочие данные без какого либо шифрования. Ну так можно дойти до того, что приложение должно рассказать пользователю про трояны, кейлоггеры, руткиты, TOR, прокси-серверы и вообще предложить на линукс перейти.

Тут или крест снимать или трусы надевать. Телеграм позиционирует себя как защищенный месенджер. Если он не может защитить, то должен хотя бы предупредить.

Все это можно легко и понятно рассказать на одном welcome-screen с любимыми картинками Павла Дурова.

На телефоне можно поставить дополнительный код для входа в приложение (на десктопе возможно тоже, сейчас нет возможности проверить) На десктопе тоже можно. А ещё можно поставить код на вход в учётную запись ОС. А ещё зашифровать диск. Если человеку так важна секретность, то у него в системе изначально включено шифрование системного диска (по крайней мере на Маке это легко и просто).

СМС на телефоне хранятся в незашифрованном виде. История браузера хранится в незашифрованном виде.

Вместо того, чтобы городить шифрование в каждом приложении (а чем больше реализацией, тем больше шансов, что где-то накосячат), и существует шифрование системы. Причём, в современных андроидах (если это не подвальный Китай, которому плевать на требования Google) шифрование включается по умолчанию автоматически.

Десктопным ОСям давно пора тоже так делать.

В Linux (в Ubuntu, по крайней мере) уже давно сделано.

А какой из мессенджеров шифрует локальное хранилище на РС?
Где вообще сказано, что Телега гарантирует шифрование чатов в хранилище? А где вообще пользователей предупреждают, что хранится в открытом виде? Почему нельзя задать пароль\пинкод для шифрования? Васе-пупкину не составит труда делать банальные скриншоты для чтения переписки. Если у пользователя есть доступ к чату, то и у зловреда он так или иначе будет. Кстати, как минимум в Telegram Desktop для Windows задать пинкод очень даже можно. Я не проверял, зашифровано ли там всё, но другие комментаторы тут намекают, что зашифровано Десктопный клиент и так всё шифрует. просто у хранилища в начале лежит ключ шифрования не зашифрованный. если вы задаёте пароль, то этим паролем шифруется этот ключ.

Разъясните это автору поста, он не верит)

Не понятно, в чем проблема-то (ну кроме желания покрасоваться на фоне хайпа)?

Т.е. не важно, что и как телеграм хранит. Всегда можно запустить его и начать копировать экран с распознаванием.

Т.е. не важно, что и как телеграм хранит. Всегда можно запустить его и начать копировать экран с распознаванием.

И это обнаружит эвристический поведенческий анализатор любого популярного антивируса. В мобильном без рут-доступа к ней не добраться просто так. Ну так скоро найдется умелец, который залезет с рутом и напишет разоблачение.

Я расскажу про Windows, на Linux железо будут то же, просто библиотеки другие.

Можно просто установить veracrypt и зашифровать и системный диск и любые другие. Ничего покупать не надо.

Ну и доверия к опенсорсу побольше, чем к битлокеру.

Да, конечно, способов много. Просто у VeryCrypt немного другой стиль, он будет требовать ввода пароля при включении, т.е. он не делегирует работу с паролями операционной системе.

VeraCrypt не поддерживает взаимодействия с TPM, так как, по мнению разработчиков, TPM не может быть использован для решения задач информационной безопасности[17], так как TPM не обеспечивает никакой защиты компьютера от злоумышленника, получившего физический доступ к компьютеру и, например, установившего аппаратный кейлоггер.

FileVault uses the user's login password as the encryption pass phrase. It uses the AES-XTS mode of AES with 128 bit blocks and a 256 bit key to encrypt the disk, as recommended by NIST.[12][13] Only unlock-enabled users can start or unlock the drive. Once unlocked, other users may also use the computer until it is shut down.[3]

В приложениях, работающих с TPM, есть по сути два пароля:

Пароль для шифрования диска. Он длинный и сложный, создается программой и хранится внутри TPM. Его нереально перебрать.
Пароль пользователя. Он простой (ну чтобы человек запомнил), однако он проверяется уже ОС, которая не даст перебрать пароли (т.е. не даст вводить неправильный пароль слишком часто).

В самом Mac OS (в отличии от Windows) загрузочный раздел не шифруется:

For this approach to disk encryption, authorised users' information is loaded from a separate non-encrypted boot volume[4] (partition/slice type Apple_Boot).

Если вами действительно заинтересуются те кто способен (если предположить что это возможно) взломать битлокер, то веракрипт вас тоже не спасёт.

Уважаемый Jeditobe, для чего вы создаете статью с 3 строчками, а потом её дополняете остальным описанием?
Объясните, может это не спроста?

Так вроде это не баг, а фича? ЕМНИП Дуров где-то на просторах твиттера ещё пару лет назад говорил, что если само устройство скомпрометировано, то и защищаться дальше уже просто нет смысла (в конце концов можно же просто делать скриншоты экрана, от чего никакое шифрование не защитит, например)

если само устройство скомпрометировано, то и защищаться дальше уже просто нет смысла

Зайти с другого устройства, сбросить пароль и разлогинить все свои аккаунты? Согласен, я скорее имел в виду ситуацию когда у злоумышленника есть прямой доступ к устройству. Например украденный телефон/ноутбук.

В настройках программы есть код для запуска приложения. Если его использовать, то переписка тоже в открытом виде хранится?

Этот код не включает шифрования переписки на диске. Проверяли? Или опять инфа от какого-нибудь сомнительного первоисточника?) Приведите авторитетный контр-пример, если хотите возразить, зачем попусту кнопки сотрясать. Предлагаю начать с приведения авторитетных примеров для самого поста. Иначе получается, что он до сих пор врёт, начиная аж с заголовка Автор статьи напоминает мне Роскомнадзор, для которого мессенджером является только Телега, а вот Ватсап и Вайбер уже не входят в этот список «счастливчиков», хотя ведь у всех троих есть десктопные версии.

Подскажите где на Windows хранится SQLite база данных Telegram? Telegram Desktop хранится в папке C:\Users\<USER>\AppData\Roaming\Telegram Desktop\ но SQLite базы там не вижу.

C:\Users\\AppData\Local\Packages\TelegramMessengerLLP.TelegramDesktop_t4vj0xxxxxxxx\LocalCache\Roaming\Telegram Desktop UWP
Скорее всего тут.

Хочется добавить сценарий, когда приложение Telegram Desktop находится не на личном устройстве пользователя с шифрованием диска и т.п., а на рабочей станции, подконтрольной компании, на которую данный пользователь работает.

Уверен, мало кто примет спокойно тот факт, что сотрудники некоторых служб смогут прочесть личную переписку пользователя просто забрав файлы локальной базы мессенджера.

Всегда можно просто наделать скриншоты экрана. (А у одной такой компании, профессионально создающей софт для делания этих скриншотов, даже блог на хабре где-то был) Можно, и делают. Но только ту информацию, которая отображается в окне открытого клиента в момент снятия скриншота, но никак не всю историю переписки. В этом большая разница.

Но только ту информацию, которая отображается в окне открытого клиента в момент снятия скриншота, но никак не всю историю переписки.

Там есть «Export chat history» (в декстоп). Только на один чат, но всё же.

Из настроек можно экспортнуть историю по всем чатам, и даже немного больше. Выполняют требования GDPR.

А вообще я в своём линуксовом Telegram что-то не могу найти никаких баз. Даже в каталоге tdata/user_data/cache ни я, ни file, ни binwalk не могут ничего прочитать, как будто и правда зашифровано

Да, я тоже обратил внимание, что структура данных в linux-версии Telegram совсем другая, чем на приведённом в статье скриншоте. Ни каких db_sqlite. Хочется написать, ну слава богу! Хотя бы я буду иметь доступ к своим данным, а то все вокруг имеют, а я бы сидел и не знал.
P.S. удивительно, но можно зайти в телеграмм клиент и прочитать даже, не вводя никакого пароля. Это должно быть не только в коде, но и в FAQ написано, чтобы можно было пользователю легко разобраться. Не должно. Там и так фак слишком длинный чтобы средний человек его прочитал. А специалист может и погуглить немного. Автор: Сенсация! Автомобиль <пустьбудетмазда> переворачивается если 41 секунду ехать со скоростью 91.8 км/ч!
Комментаторы: Нет, это неправда. Можете проверить характеристики, тесты, и т.д.
Автор: Почему в инструкции к автомобилю нету пункта что он не переворачивается если 41 секунду ехать со скоростью 91.8 км/ч. А.
Вот, как это выглядит.

Мне кажется, это не совпадение.

P.S. На Telegram Desktop под windows я такой проблемы не наблюдаю.
P.P.S. Категорически рекомендую заменить заголовок. В данный момент вы дёшово пиаритесь и вводите в заблуждение добропорядочных пользователей. Фу таким быть.

Telegram исправил существенную оплошность своих разработчиков, связанную с заявленными инструментами защиты приватности.

У Telegram есть дополнительная мера защиты — «секретные чаты», где можно пересылать участникам дискуссии аудио и видео, самоудаляющиеся через заданный временной промежуток.

Однако, как выяснилось, в режиме секретного чата обещанного удаления таких роликов под macOS не происходило, по крайней мере, на стороне получателя.

Эксперт по безопасности по имени Дхирадж Мишра (Dhiraj Mishra) обнаружил проблему в клиентской версии Telegram 7.3 под macOS. Он выяснил, что стандартные чаты могут выдавать защищённый путь к области, в которой хранятся полученные видео и аудиозаписи.

Функции по защите приватности в Telegram не справлялись с окончательным удалением «самоуничтожающихся» видео

И хотя в режиме секретных чатов этот путь не выдаётся, файлы в любом случае хранятся в одной и той же папке. Даже когда записи автоматически удаляются из чата (то есть, перестают быть доступны через него), сами файлы остаются на жёстком диске всё в том же каталоге, хотя по идее тоже должны удаляться. Таким образом, функция не срабатывала так, как ожидалось, ставя под угрозу пользователей, особенно когда речь идёт о рассылке записей нескольким получателям.

У вас код доступа рассыпался

«Обе описанные проблемы, увы, не выглядят чем-то атипичным: и хранение важных данных в незашифрованном виде, и не полное соответствие заявленного уровня защиты реальному встречаются довольно часто, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Далеко не всегда вендоры адекватно реагируют на обращения экспертов, но в этот раз, судя по всему, разработчики Telegram проявили адекватность и оперативность в устранении «багов», которые компрометировали сквозную защиту мессенджера».

Обе уязвимости устранены в версии Telegram 7.4. Мишра получил $3 тыс. в качестве вознаграждения.

Так теоретически тебе кусок кода присылают только в тех случаях, когда тебе нужен код - чтобы ты мог копирнуть и вставить куда надо (или просто мог глянуть на текст со спецсимволами, чтобы его случайно не раздербанило форматированием)

типа "я отправляю боту **текст** текст, а он ничего не делает"