定时炸弹?翻版Telegram或致伊朗用户信息泄露

关注 2018-11-07 16:13:22 查看数 10384 ,评论数 0 技术控
国家赞助的黑客可以利用各种技术远程访问社交媒体和聊天应用程序。从2017年开始到2018年,思科Talos已经发现各种用来攻击用户并窃取他们私人信息的技术。近日,研究人员发现了有黑客专门针对聊天应用程序Telegram和社交媒体网站Instagram的伊朗用户。 Telegram已经成为伊朗灰色软件的热门目标,因为它在伊朗大约有4000万用户。虽然它主要用于日常交流,但抗议者过去也曾用它来组织针对伊朗政府的示威活动。在少数情况下,伊朗政府要求Telegram关闭某些“会促进暴力”的功能。自2017年以来,黑客一直在想方设法收集有关Telegram和Instagram用户信息,这些活动的复杂性、资源需求和方法各不相同。下面,我们概述网络攻击、应用程序克隆和网络钓鱼的示例,这些活动专门针对Telegram的伊朗用户,以窃取个人和登录信息。 安装后,即使用户使用的是合法的Telegram应用程序,其中一些Telegram“克隆”也可以访问联系人列表和消息。如果用户使用的是虚假Telegram应用程序,恶意软件将完整的会话数据发送回后端服务器,这可以让攻击者完全控制该帐户。这类应用程序应归为“灰色软件”,因为它的恶意程度不高,所以不能被归类为恶意软件,但足以被视为潜在有害程序(PUP)。这种软件很难检测,因为它拥有用户期望的功能(例如发送消息)。这些灰色软件有可能暴露使用这些应用程序的移动用户的隐私。 在伊朗攻击活动中黑客使用的另一种方法是创建虚假登录页面。尽管这一技术并不先进,但对于那些不了解网络安全的用户来说,它非常有效。像“Charming Kitten”这样的伊朗联盟组织一直在使用这种技术攻击聊天应用程序。一些黑客也在劫持设备的BGP协议。 思科发现了一个完全专注于伊朗市场的软件开发商,该开发商在iOS和Android平台上都使用“andromedaa.ir”这个名称。其开发的软件旨在增加用户在Instagram等社交媒体网络上的活跃度,以及Telegram上的伊朗用户数量。 在查看网站,更确切地说是查看安装链接时,可以很明显的发现这些应用程序都没有在官方应用程序商店(Google或Apple)中发布,这可能是由于美国政府对伊朗实施的制裁。

andromedaa.ir的Whois信息

andromedaa.ir域名是用h0mayun@outlook.com注册的。克隆的Instagram和Telegram应用程序的域名也是用这个电子邮件地址注册的。 Talos在分析与域andromedaa[.]com相关的whois信息后发现了各种域名,都是用同一个号码注册的。

部分域名列表

扫描与上述域名相关的IP地址后,发现了它们使用SSL证书的模式。

证书信息

所有andromedaa.ir应用程序都旨在通过增加点赞、评论、关注者甚至用户数量来增加伊朗用户在Instagram或Telegram上的活跃度,而且这只针对伊朗用户。

价目表

尽管这些服务并不违法,但它们肯定是“灰色”服务。在同一网站上,我们可以看到营销人员强调使用此服务比其他服务好在哪里。 值得注意的是,运营商表示他们永远不会要求Instagram用户给他们提供密码,并且所有用户都是真实的。实际情况是,运营商不需要Instagram的客户密码,因为Instagram用户不需要登录别人的帐户来点赞别人的帖子。相反,运营商可以访问数千个用户会话,还可以访问所有已安装“免费”应用程序的用户,这意味着他们可以用这些信息做任何他们想做的事情。 这里的危险并不是指这个运营商可以赚钱,而是用户的隐私存在风险。运营商可以访问用户的完整联系人列表,Telegram上的消息以及用户的个人资料。伊朗禁止使用这些网站,特别是Telegram,因为聊天可以加密,阻止政府访问。通过使用这些方法,运营商可以危及端点并访问所有聊天记录。 虽然大部分后端都托管在欧洲,但所有经过测试的应用程序都会对位于伊朗的服务器执行检查更新。考虑到禁用应用程序的环境,这可能使政府有权访问数千个移动设备。 虚假网站 获得用户Telegram帐户访问权限的最简单方法是对用户进行社会工程学攻击,诱导用户将用户名和密码输入由攻击者控制的欺诈性网站。研究人员在野外发现了域名youtubee-videos[.]com,它模仿了Telegram的Web登录页面。

虚假的登录页面

此域名于2017年7月25日注册。在进一步检查网页源代码后,发现该网站是使用名为“Webogram”的GitHub项目构建的,源页面中还有字符串表示该网站是为iPhone设计的。

网站源代码

Telegram是一款加密的即时通讯应用程序,它还能为新闻机构乃至政府机构使用。据悉,这款应用在伊朗拥有4000万名用户,而该国上网的用户大概也只有5000万,可见Telegram在这个国家的普及性。今年4月,伊朗以国家安全为由禁用Telegram,但还是挡不住其国民的热情。研究人员发现目前有几个Telegram“克隆”已有数千次下载,这表明大量伊朗居民的隐私安全存在被泄露的风险。
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...