دیروز تلگرام نسخه جدید خود را با شماره 1.4 برای دسکتاپ منتشر کرد که قابلیت های جدید به ان اضافه شده است. اما یکی از مهمترین ضعف هایی که در این نسخه Patch شده است، امکان نشت اطلاعات مرتبط با IP کاربر ود که جزو یکی از باگ های خطرناک به شمار میرفت.
به گزارش ZDNet، تلگرام باگی را  که منجر به نشت اطلاعات آی پی آدرس ها،از طریق  کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد و به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.

این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.

در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.

انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به  اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.

این باگ جزو یکی از باگ های خطرناک محسوب می‌شود بخصوص برای افراد مهمی همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.
البته ایرانی ها نباید خیلی بابت این باگ نگرانی داشته باشند، زیرا با توجه به فیلتر بودن تلگرام، آدرس IP سرورهای VPN و فیلترشکن ها ثبت خواهد شد. اما به هر حال برای رفع نگرانی، فعلا در قسمت Voice Calls، گزینه Peer-to-Peer را بر روی Nobady قرار دهید.

------------------------------------

اخبار تکمیلی: موسس تلگرام آقای پاول دورف در کانال رسمی خود در این مورد توشیحاتی را ارائه داده است:

Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.
The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.
During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default. 
However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address. 
That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default. 
Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.
However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards. 
Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

• Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
• تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
• VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
• OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
• LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
• Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
• Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
• Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
• Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
• Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
• WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

این روزها چندین برنامه پیام رسان اجتماعی مشابه تلگرام در حال گسترش در کشور هستد که در کانال های مختلف منتشر شده و بسیاری از مردم آنها را جایگزین تلگرام میدانند. در این بلبشوی ممنوعیت استفاده از تلگرام، بسیاری از افراد با سوء استفاده از آگاهی افراد و شوق فراوان انها در کشف پیام رسان خارجی جایزگین، اقدام به سوء استفاده های فراوانی کرده و در اصطلاح از آب گل آلود ماهی میگیرند که البته مقاصد این افراد متفاوت است اما هرچه که هست اصلا قصد خوبی نبوده و اعتماد به انها فعلا پیشنهاد نمیگردد. لذا در زیر به بررسی دو پیام رسان به نام TelegramDR و Telepado پرداخته شده است هرچند که ممکن است مطالب مشابه این مطلب را در سایت های مختلفی مشاهده کرده باشید.

ابتدا در مورد Telegram DR:

طبق بررسی های انجام شده، این برنامه توسط نریمان غریب (شبکه منوتو) و امین ثابتی (کارشناس فنی بی‌بی‌سی) که هر دو ساکن لندن هستند، تهیه و معرفی شده و اخیرا هم توسط کانال‌های مختلف تبلیغ شده است.
در ابتدا ادعا شده بود که این نرم افزار یک برنامه اپن‌سورس است و با همکاری مدیر عامل تلگرام آقای پاول دوروف تهیه شده! اما ریپوزیتوری گیت‌هاب آنها خالی بود و ادعای اپن‌سورس بودن آن مثل اتصالش به دوروف، فاقد مدرک بود. طی چند روز جاری هم مقداری کد در گیتهاب اضافه شده است (https://github.com/filtershekanha/TelegramDR--AndroidNative)که کاربر بی‌اطلاع، ممکن است تصور کند واقعا اپن‌سورس است.
تهیه‌کنندگان آن مدعی هستند که این برنامه همان تلگرام+سایفون است! اما نکته جالب اینجاست که اگر درست میگویند، کاربران میتوانند خودشان سایفون را بر روی گوشی نصب کرده و از تلگرام استفاده کنند و هیچ نگرانی ای نداشته باشند. حالا بد نیست به چند مورد زیر نیز توجه کنید:

- دسترسی‌های تلگرام دی آر غیر طبیعی است!یکی دیگر از دلایل عدم استفاده از تلگرام دی آر دسترسی‌های بسیار زیادی است که از گوشی تلفن همراه کاربران می‌گیرد. شما کافی‌ست این نسخه را نصب کنید و به چندین و چند دسترسی که از شما اجازه آن‌ها را می‌گیرد. به نظر می‌رسد بیش از آنکه این اپلیکیشن به خدمات دهی کاربران تمرکز کند، به “احتمالا” بعضی از دسترسی‌های موردنیاز در آینده فکر کرده است!

- تماس صوتی در این نسخه قطع است!یکی از دلایلی که معمولا در مورد این نسخه از تلگرام گفته می‌شود، این است که بدون محدودیت‌های معمول در نسخه اصلی می‌توان از همه امکانات تلگرام استفاده کرد ولی ما به عنوان نگارنده این متن، با تلاش‌های مکرری که برای تست تماس صوتی این پیام رسان انجام دادیم، موفق به ارتباطی نشدیم و عملا این امکان در نسخه‌ای که با یک سری از کارها ظاهرا بدون محدودیت شده است، همانند نسخه با محدودیت کار می‌کند!

بررسی Telepado:

این نرم افزار که اینروزها در بین کاربران به عنوان جایگزین تلگرام معرفی شده است هم بسیار مشکوک است. از این اپلیکیشن که دامنه آن در سال 2014 ثبت شده و جدیدا با استفاده از یک Shield، تمام اطلاعات ان پنهان شده و اطلاعات بسیار کمی در وب وجود دارد و مشخص نیست مربوط به کدام کشور است. البته در انتهای سایتِ دو صفحه‌ای این برنامه، متن ALL RIGHTS RESERVED (C) 2018 INTERNATIONAL TECHNOLOGY ENTERPRISE INC. (A COMPANY ESTABLISHED IN THE BRITISH VIRGIN ISLANDS) نوشته شده است که ادعا شده که مربوط به شرکتی واقع در انگلیس است اما پرچم کشور سازنده برنامه در اپل‌استور سفید است و نشان می‌دهد این برنامه ساخت یکی از کشورهای تحریم‌شده است که ایران نیز جزو یکی از این کشورهای تحریم شده است اما این پرچم سفید حداقل مارا مطمئن میکند که این محصول مرتبط با کشور انگلستان نیست. 

با بررسی صفحه الکسای این سایت (https://www.alexa.com/siteinfo/telepado.com) مشاهده میشود که تنها ایرانی ها از ان استفاده میکنند و آمار استفاده از ان بصورت انفجاری افزایش یافته است و خیلی شک برانگیز است که چرا نرم افزاری که قصد دارد جایگزین تلگرام باشد، برخلاف سابقه وایبر و تلگرام تاکنون هیچ استفاده کننده ای غیر ایرانی نداشته است.

با صرف وقت بیشتر برای یافتن سابقه‌ی این دامنه و پیام‌رسان، می‌بینیم که چند جوان روسی و اوکراینی در linkedin و... کار روی پیام‌رسان Telepado را جزو رزومه خود آورده‌اند که از جمله انها میتوان به Alexander Sobolev از روسیه، Victor Queiroz از برزیل، Lev Khomich از سوییس اشاره نمود که همه در حد Developer بوده و هیچکدام Owner این پروژه نیستند و در حال حاضر هم دیگر توسعه ای بر روی این نرم افزار انجام نمیدهند.
لذا به احتمال زیاد، این پیام‌رسان یک پیام‌رسان مهجور بوده که توسط آقازاده‌ای پولدار (خارجی یا ایرانی) خریداری و تبلیغ شده است.درست شبیه پیام‌رسان‌های خارجی دیگر و... که خریداری شده و به عنوان پیام‌رسان ایرانی در حال فعالیت هستند و البته با بررسی بیشتر متوجه میشویم که Telepado اپن‌سورس نبوده و ادعاهایی که در خصوص امنیت دارد، قابل اثبات نیست.

با جستجوی بیشتر بر روی علامت تجاری Telepado، اطلاعات جالب دیگری را مشاهده میکنیم. با مراجه به اینجا مشاهده میکنیم که فردی با نام Omar Ghoshehمالک این برند است و متاسفانه اطلاعات کاملی نیز از ایشان در دسترس نیست و مشاهده میکنیم که این فرد اصلیت اماراتی داشته و ساکن اسراییل است و تاکنون بیش از 60 دامین دیگر را نیز برای خود ثبت نموده است که بسیاری از انها جدید هستند.

و جالب این است که سایر دامین های ثبت شده توسط ایشان، هیچکدام توسط shield، پنهان نشده اند.

از طرفی به گفته کاربران استفاده کننده از این نرم افزار، قابلیت Delete Account در این محصول وجود نداشته و کاربر پس از ثبت نام، بالاجبار در این نرم افزار فعال میباشد. همچنین پیامک های تایید این نرم افزار با سرشماره +93 از افغانستان ارسال میشوند که باز هم با ماهیت مثلا انگلیسی این محصول در تضاد است. تمامی موارد ذکر شده در بالا دست به دست یکدیگر میدهند که به این نرم افزار مشکوک باشیم و حداقل به این شک کنیم که چگونه نرم افزاری با ماهیت پنهانی ، بدون شفاف سازی ، بدون سابقه فعالیت موفق و بدون ارائه تضمین های لازم، قرار است جایگزینی برا تلگرام باشد.

در انتها لازم به ذکر است که تحقیقات بیشتری جهت شفاف سازی در مورد این نرم افزار ارائه خواهد شد و نگارنده این خبر در شرکت تاکیان، هیچگونه پیشنهاد جهت استفاده یا عدم استفاده از این نرم افزارها را تاییدنمی نماید و تصمیم گیری نهایی بر عهده خود کاربران است.

اخیراً اخباری در شبکه های مجازی دست به دست میشود که نباید بر روی فایل های با پسوند png کلیک کرد. اما فلسفه این داستان چیست و آیا فقط بر روی این نوع پسوند نباید کلیک کرد؟ یا در مورد سایر پسوند ها نیز صادق است. در این مطلب سعی داریم این موضوع را موشکافی کنیم.

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.مروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند.

اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.
در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.

فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JSاست که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

photo_high_re*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

photo_high_resj.png

حال به نظر می‌رسد پسوند فایل PNGو یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).استفاده از Unicodeبرای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.
آسیب‌پذیری RLOتنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.
 
پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.
پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود: 1 - عدم دانلود از منابع ناشناس  2 - توجه به هشدارهای سیستمی زمان بازکردن یک فایل  3 - نصب یک آنتی‌‌ویروس قابل اعتماد

تالوس (Talos) یکی از واحد های اطلاعاتی، شرکت امنیت سایبری سیسکو است که پرده از موضوع مهمی برداشته است.

تالوس طی اطلاعیه ای اعلام کرد بدافزاری جدید به نام تلگراب یافت شده که کلید های رمز نگاری پیام رسان تلگرام (Telegram) را سرقت می کند.

محققان تالوس برای اولین بار در 4 آوریل 2018 موفق به شناسایی بدافزار تلگراب شده اند. اولین نسخه این بدافزار فایل های کوکی در مرورگرها و فایل های متنی را سرقت می کرد. نسخه دوم این بدافزار تلگرام را هدف قرار داده و کلیدهای رمزنگاری و اطلاعات حساس را سرقت می کند.

پیام رسان تلگرام در سراسر جهان محبوب بوده از طرفی فقط در کشور های ایران و روسیه با محدودیت روبه رو شده است. از این رو باید به این نکته اشاره کرد که این بدافزار در ابتدا فقط آی پی های روسیه را هدف قرار داده و سپس بقیه کشور ها را نیز در بر گرفته است.

محققان تالوس عنوان کردند بدافزار یاد شده موجب می شود امنیت و حریم خصوصی کاربران به خطر بیوفتد.

نسخه دوم تلگراب روز 10 آوریل کشف شد که به‌مراتب پیشرفته‌تر از نسخه اولیه بوده و متن، کوکی‌ها(از روی کروم)، پسورد لاگین کردن به تلگرام را از روی رایانه به سرقت می‌برد.

بدین ترتیب کاربر تلگرام متوجه نمی‌شود که پسوردش لو رفته است و حمله‌کننده به‌راحتی می‌تواند از آن سوءاستفاده کند.

کارشناسان امنیتی می‌گویند عدم ایمنی در نسخه دسکتاپ باعث شده است تا هکرهایی (Racoon Hacker یا Енот) که احتمال می‌رود از جانب دولت روسیه فعال هستند، تلگراب را نوشته و راهی فضای مجازی کرده باشند.

با توجه به گستردگی فعالیت این بدافزار به کاربران توصیه می شود نسبت به تغییر گذرواژه های خود اقدام کنند. ضمنا تا زمانی که تلگرام بتواند تدبیری برای این بدافزار بی اندیشد، باید از برنامه های آنتی ویروس برای مقابله با بدافزار های این چنینی استفاده کرد.

​تنها فقط یک کاراکتر می‌تواند iPhone شما را خراب کند و دسترسی به برنامه پیام‌رسان در iOS و همچنین برنامه‌های محبوب مانند WhatsApp، Facebook Messenger، Outlook for iOS و Gmail را مسدود کند.

این موضوع اولین بار توسط یک وبلاگ ایتالیایی به نام mobileworld.it مورد اشاره قرار گرفت که حاکی از یک باگ و اشکال بالقوه جدید بود که نه تنها بر روی آیفون‌ها، بلکه بر روى طیف گسترده‌ای از دستگاه‌های اپل، از جمله iPad ها، مکینتاش‌ها و حتی ساعت‌هاى هوشمند داراى آخرین نسخه از سیستم عامل، تاثیر می‌گذارد.
مانند باگ "بمب متنى" که قبلا منتشر شده بود، اين باگ و اشکال جدید به راحتی می‌تواند توسط هر کسی مورد سوء استفاده قرار گیرد و نیاز به این دارد تا کاربران فقط یک کاراکتر تِلـوگو –(یک زبان بومی هندی است که توسط 70 میلیون نفر در کشور هندوستان صحبت می‌شود) را ارسال کنند.
هنگامی که گیرنده یک پیام ساده حاوی این نماد را دريافت می‌کند یا آن نماد را در ویرایشگر متن تایپ می‌کند، این کاراکتر بلافاصله منجر به اختلال در iPhone ها، iPads ها، مک‌بوک‌ها، ساعت‌هاى هوشمند و تلویزیون‌های اپلي كه در حال اجراي برنامه Springboard هستند، مى‌شود.
برنامه‌هایی که بمب متنى را دریافت می‌کنند، تلاش می‌کنند تا این کاراکتر را بارگذاری کنند، اما تا زمانى كه اين كاركتر حذف نشود، نمی‌توانند به درستی كاركنند - که معمولا اين كار می‌تواند با حذف کل مکالمه انجام شود.
ساده‌ترین راه حذف این پیام جنجالی این است که از یک شخص دیگر درخواست کنید که یک پیام به برنامه‌ای که به علت بمب متنى خراب شده است، ارسال کند. اين كار  به شما این امکان را می دهد که به طور مستقیم به آن اعلان پرش کنید و کل موضوعی که حاوی کاراکتر مخرب است را بتوانید حذف کنید.
این کاراکتر می‌تواند برنامه‌های شخص ثالث مانند iMessage، Slack، فیس‌بوک مسنجر، WhatsApp، Gmail، و Outlook برای iOS، و همچنین Safari و Messages برای نسخه‌های macOS را غیر فعال كند
به نظر می‌رسد کاربران برنامه‌هاى تلگرام و اسکایپ در موضوع باگ بمب متنى با خطری روبرو نباشند و این مشکل در این نرم افزارها وجود ندارد.

ظاهرا، حداقل سه روز پیش از انتشار این خبر، شرکت اپل از این باگ مطلع بوده و قصد دارد این موضوع را در یک به روز‌رسانی iOS قبل از انتشار iOS 11.3 عرضه کند.
در مورد این موضوع نسخه بتای عمومی iOS 11.3 بدون تأثیر است.
از آنجایی که بسیاری از برنامه‌ها تحت تاثیر بمب جدیدِ متني قرار می‌گیرند، افراد سودجو می‌توانند از این اشکال سوء استفاده کنند تا کاربران اپل را از طریق ایمیل یا برنامه‌هاى پیام‌رسان مورد هدف قرار دهند. 
لذا توصیه می‌گردد کاربرانی که از محصولات این شرکت استفاده قرار می‌كنند علاوه بر افزایش اطلاعات خود در خصوص اين باگ به بروزرسانی‌ها نیز توجه ویژه داشته باشند.

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".