Все пишут, я тоже напишу: если вам пришло такое сообщение от кого-то в ТГ, то это фишинг в результате которого у ваc отожмут акк в ТГ и разошлют такие же сообщения вашим контактам.
Схема примитивная. Если бы там была просто ссылочка на внейшний сайт, никто бы особенно велся на это. Но ботам с кнопочками почему-то больше верят.
@avleonovrus #telegram #phishing
Схема примитивная. Если бы там была просто ссылочка на внейшний сайт, никто бы особенно велся на это. Но ботам с кнопочками почему-то больше верят.
@avleonovrus #telegram #phishing
Алексей Комаров @zlonov представил обновлённую подборку каналов и чатов в Telegram по информационной безопасности на русском (преимущественно) языке. Весьма залипательно. Интересно поглядеть, что в нашей ИБшной тусовочке читают и о чем пишут. Вечные темы понятно какие: новости (в основном про громкие инциденты), туториалы (в основном про оффенсив), регуляторочка. 🙂
Я в подборке тоже есть. И @avleonovrus, и @avleonovcom. Последний оказывается на 50% подрос за год, прикольно. ⬆️🙂 @avleonovnews там нет, но наверное и не надо, т.к. это не столько канал, сколько агрегатор, машина бездушная. 🤖😄
@avleonovrus #Telegram #community #дыбр
Я в подборке тоже есть. И @avleonovrus, и @avleonovcom. Последний оказывается на 50% подрос за год, прикольно. ⬆️🙂 @avleonovnews там нет, но наверное и не надо, т.к. это не столько канал, сколько агрегатор, машина бездушная. 🤖😄
@avleonovrus #Telegram #community #дыбр
Задумался о зеркале на WordPress для контента из моего телеграмм-канала @avleonovrus. 🤔
Телеграмм меня устраивает как средство создания контента.
🔸 Тут и черновики удобно хранить, и итоговый пост собирать.
🔸 И с десктопа удобно, и с телефона.
И как средство потребления контента он тоже очень хорош.
Но есть ряд вопросов:
1. Кажется, что Телеграмм довольно скоро окончательно заблокируют. В прошлый раз с Дуровым как-то договорились, но, судя по штрафам за отказ в локализации данных, не до конца. Учитывая рост возможностей DPI, думаю эффективная блокировка телеги это дело времени. Как и наш переход на национальный мессенджер а-ля WeChat.
2. Отсутствие нормальной индексации поисковыми системами. Хочется, чтобы читатели находили тебя поиском по тексту. Сейчас контент заперт внутри ТГ канала, а люди приходят только благодаря перепостам. 🤷♂️
3. Отсутствие структуры. Здорово, что есть тэги. Но хочется категорий, чтобы можно было выделить проекты, сделать вложенные меню и т.п.
@avleonovrus #Telegram #Mirror
Телеграмм меня устраивает как средство создания контента.
🔸 Тут и черновики удобно хранить, и итоговый пост собирать.
🔸 И с десктопа удобно, и с телефона.
И как средство потребления контента он тоже очень хорош.
Но есть ряд вопросов:
1. Кажется, что Телеграмм довольно скоро окончательно заблокируют. В прошлый раз с Дуровым как-то договорились, но, судя по штрафам за отказ в локализации данных, не до конца. Учитывая рост возможностей DPI, думаю эффективная блокировка телеги это дело времени. Как и наш переход на национальный мессенджер а-ля WeChat.
2. Отсутствие нормальной индексации поисковыми системами. Хочется, чтобы читатели находили тебя поиском по тексту. Сейчас контент заперт внутри ТГ канала, а люди приходят только благодаря перепостам. 🤷♂️
3. Отсутствие структуры. Здорово, что есть тэги. Но хочется категорий, чтобы можно было выделить проекты, сделать вложенные меню и т.п.
@avleonovrus #Telegram #Mirror
Обнаружил фичу в Телеграмме, о которой не могу молчать. Хоть она напрямую с уязвимостями и безопасностью не связана. Ну, почти. Оказывается мало того, что контакту можно принудительно выставить имя и фамилию (это я давно знал и практиковал), ему оказывается можно выставить ещё и аватарку! 🤩 И эти данные будут видны только вам.
Edit contact -> Set Photo for ...
Вот так просто. То есть понимаете, больше не надо держать, в голове, что пользователь с ником c00lhazker377 и аватаркой Нео из Матрицы это твой коллега Вася Иванов. Можно выставить ему имя Василий Иванов и настоящую фотку анфас. И никто об этом не узнает, Вася так и продолжит думать, что он самый анонимный аноним и оригинал.
Восхитительно, просто восхитительно. 😇 Причесал основной контакт-лист - прям залюбуешься теперь.
PS: с безопасностью-то это конечно связано - через эту фичу администрация Телеграмма вполне вероятно получит от ваших контактов вашу реальную внешность и имя-фамилию. 🤫🤷♂️
@avleonovrus #Telegram #SetPhotoFor #offtopic #slowpokenews
Edit contact -> Set Photo for ...
Вот так просто. То есть понимаете, больше не надо держать, в голове, что пользователь с ником c00lhazker377 и аватаркой Нео из Матрицы это твой коллега Вася Иванов. Можно выставить ему имя Василий Иванов и настоящую фотку анфас. И никто об этом не узнает, Вася так и продолжит думать, что он самый анонимный аноним и оригинал.
Восхитительно, просто восхитительно. 😇 Причесал основной контакт-лист - прям залюбуешься теперь.
PS: с безопасностью-то это конечно связано - через эту фичу администрация Телеграмма вполне вероятно получит от ваших контактов вашу реальную внешность и имя-фамилию. 🤫🤷♂️
@avleonovrus #Telegram #SetPhotoFor #offtopic #slowpokenews
Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.
В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇
Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷♂️🤦♂️ Но это решаемо. 🙂
@avleonovrus #Telegram #Mirror #Wordpress
В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇
Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷♂️🤦♂️ Но это решаемо. 🙂
@avleonovrus #Telegram #Mirror #Wordpress
Вчера канал перевалил за 4000 подписчиков. 🎉 Ощутимая величина! 😇 Спасибо за доверие! Буду продолжать делиться с вами всяким разным про VM. 🌝
Немного статистики:
🔻 +1000 подписчиков с ноября.
🔻 С момента появления инструмента "Similar Channels" он даёт хороший устойчивый прирост. Спасибо Дурову за фичу и за то, что он пока её не монетизирует. 😏
🔻 Хороший буст дают репосты в каналы и группы - за репосты всем большое спасибо! Пик 9 января - уязвимость GitLab.
🔻 Шарящиеся папки с каналами дают очень хороший прирост, но кратковременный. И потом многие отписываются или не читают. Возможно потому, что каналы подбираются с несколько разной тематикой. Можно подумать в сторону папки чисто про уязвимости, раз в несколько месяцев её обновлять и синхронно репостить в участвующие каналы. 🤔
🔻 У подавляющего числа подписчиков выставлена русская локаль. Есть и с английской (ни о чём не говорит - у меня тоже английская). А вот ненулевое количество читателей с другими локалями любопытно.
@avleonovrus #blogging #Telegram
Немного статистики:
🔻 +1000 подписчиков с ноября.
🔻 С момента появления инструмента "Similar Channels" он даёт хороший устойчивый прирост. Спасибо Дурову за фичу и за то, что он пока её не монетизирует. 😏
🔻 Хороший буст дают репосты в каналы и группы - за репосты всем большое спасибо! Пик 9 января - уязвимость GitLab.
🔻 Шарящиеся папки с каналами дают очень хороший прирост, но кратковременный. И потом многие отписываются или не читают. Возможно потому, что каналы подбираются с несколько разной тематикой. Можно подумать в сторону папки чисто про уязвимости, раз в несколько месяцев её обновлять и синхронно репостить в участвующие каналы. 🤔
🔻 У подавляющего числа подписчиков выставлена русская локаль. Есть и с английской (ни о чём не говорит - у меня тоже английская). А вот ненулевое количество читателей с другими локалями любопытно.
@avleonovrus #blogging #Telegram
По поводу трагических событий вчерашнего вечера и первых показаний схваченных упырей приходят в голову следующие мысли. Прошу воспринимать как попытку спроецировать корпоративные ИБшные практики на контроль частных коммуникаций внутри государства с использованием массовых средств связи.
🔻 Существование массовых средств связи позволяющих устанавливать более-менее приватный анонимный контакт кого угодно с кем угодно вступает в противоречие с требованиями безопасности (и не только информационной). Необходимо исходить из того, что соединения в такой системе будут массово инициировать злоумышленники и самое "безобидное", что они могут делать (если берём даже обычную телефонную связь) это запугивать, обирать и всячески манипулировать беззащитными стариками и прочими внушаемыми людьми. А хуже и гаже может быть до бесконечности. С этим невозможно эффективно бороться, если средство связи нельзя контролировать.
🔻 Как мы, ИБшники ловим злоумышленников в ЛВС организаций? Методами мониторинга и поиском аномалий. Первичное анонимное соединение (например "неизвестный написал в личку со странным предложением") это аномалия, которая должна анализироваться. Если средство связи не допускает эффективный мониторинг, то использование его должно быть максимально затруднено. Это к слову о перспективах Telegram и других иностранных средств связи, особенно предлагающих сильное сквозное шифрование. Они либо должны находиться под контролем гос. органов (предоставлять средства для эффективного мониторинга), либо должны быть надёжно заблокированы. 🤷♂️ Первое предпочтительнее.
🔻 Что мы, ИБшники, делаем в организации, когда средство связи позволяет выполнять анонимные входящие соединения, отказ от этого средства связи невозможен и этим активно пользуются злоумышленники? В каждой организации с этим сталкиваются, когда пытаются защититься от фишинга через электронную почту. Да, для этого применяют и проверку входящих писем техническими средствами. Но очень важный момент это антифишинговые рассылки. Т.е. учебные атаки на сотрудников инициированные самими ИБшниками с использованием типовых методов, которые используют злоумышленники. Это делается чтобы повысить осведомлённость сотрудников и заранее определить внутренних злоумышленников (согласных, например, на разглашение данных компании за вознаграждение). Потенциальный внутренний злоумышленник должен в каждом соблазнительном предложении подозревать провокацию и бояться попасться на провокацию в первую очередь. Как это транслируется на массовые коммуникации? Нужно не ждать, когда с группами риска начнут работать злоумышленники, а работать с ними самим (в том числе через управляемые провокации).
Итого видятся 3 направления работы специальных служб в части коммуникаций: борьба с неконтролируемыми массовыми средствами связи, эффективный мониторинг контролируемых средств связи и работа с группами риска до того как ими займутся реальные злоумышленники.
Upd. Дополнил и переписал пост, чтобы было более понятно о чём я. Хотя думаю большая часть тех, кто дизлайкнули, видят в этом тексте просто предложение заблокировать Телеграм. На самом деле нет, я верю что возможен вариант эффективного контроля Телеграм, при котором блокировка будет не нужна. Также я думаю, что все 3 направления не являются чем-то новым и работы по ним ведутся без какой-либо внешней указки.
@avleonovrus #privacy #Telegram #крокус
🔻 Существование массовых средств связи позволяющих устанавливать более-менее приватный анонимный контакт кого угодно с кем угодно вступает в противоречие с требованиями безопасности (и не только информационной). Необходимо исходить из того, что соединения в такой системе будут массово инициировать злоумышленники и самое "безобидное", что они могут делать (если берём даже обычную телефонную связь) это запугивать, обирать и всячески манипулировать беззащитными стариками и прочими внушаемыми людьми. А хуже и гаже может быть до бесконечности. С этим невозможно эффективно бороться, если средство связи нельзя контролировать.
🔻 Как мы, ИБшники ловим злоумышленников в ЛВС организаций? Методами мониторинга и поиском аномалий. Первичное анонимное соединение (например "неизвестный написал в личку со странным предложением") это аномалия, которая должна анализироваться. Если средство связи не допускает эффективный мониторинг, то использование его должно быть максимально затруднено. Это к слову о перспективах Telegram и других иностранных средств связи, особенно предлагающих сильное сквозное шифрование. Они либо должны находиться под контролем гос. органов (предоставлять средства для эффективного мониторинга), либо должны быть надёжно заблокированы. 🤷♂️ Первое предпочтительнее.
🔻 Что мы, ИБшники, делаем в организации, когда средство связи позволяет выполнять анонимные входящие соединения, отказ от этого средства связи невозможен и этим активно пользуются злоумышленники? В каждой организации с этим сталкиваются, когда пытаются защититься от фишинга через электронную почту. Да, для этого применяют и проверку входящих писем техническими средствами. Но очень важный момент это антифишинговые рассылки. Т.е. учебные атаки на сотрудников инициированные самими ИБшниками с использованием типовых методов, которые используют злоумышленники. Это делается чтобы повысить осведомлённость сотрудников и заранее определить внутренних злоумышленников (согласных, например, на разглашение данных компании за вознаграждение). Потенциальный внутренний злоумышленник должен в каждом соблазнительном предложении подозревать провокацию и бояться попасться на провокацию в первую очередь. Как это транслируется на массовые коммуникации? Нужно не ждать, когда с группами риска начнут работать злоумышленники, а работать с ними самим (в том числе через управляемые провокации).
Итого видятся 3 направления работы специальных служб в части коммуникаций: борьба с неконтролируемыми массовыми средствами связи, эффективный мониторинг контролируемых средств связи и работа с группами риска до того как ими займутся реальные злоумышленники.
Upd. Дополнил и переписал пост, чтобы было более понятно о чём я. Хотя думаю большая часть тех, кто дизлайкнули, видят в этом тексте просто предложение заблокировать Телеграм. На самом деле нет, я верю что возможен вариант эффективного контроля Телеграм, при котором блокировка будет не нужна. Также я думаю, что все 3 направления не являются чем-то новым и работы по ним ведутся без какой-либо внешней указки.
@avleonovrus #privacy #Telegram #крокус
Начитался про RCE уязвимость Telegram прошлой недели. BleepingComputer, Хабр1, Хабр2. Пока всё ещё очень противоречиво. Мне кажется вероятным такой расклад:
🔹 Видео настоящее.
🔹 Это не zero-click RCE, калькулятор запускается после клика на превьюшку.
🔹 После клика на превьюшку скачивается и выполняется .pyzw файл (executable Python zip archive). Так что недавний фикс разработчиков Telegram, добавляющий нотификацию о потенциальной опасности при клике на .pyzw файлы (нотификации не было из-за курьёзной опечатки), на самом деле касался именно этой уязвимости.
🔹 BleepingComputer пишет про довольно сомнительную работу с файлами в Telegram: "неизвестные типы файлов, опубликованные в Telegram, будут автоматически запускаться в Windows, позволяя операционной системе решить, какую программу использовать". Файлы .pyzw были как раз такими "неизвестными" из-за опечатки. Кажется тут будет много граблей ещё и лучше бы по клику никогда ничего не запускать. 🤔
🔹 Почему .pyzw файл выглядит как превьюшка изображения - отдельная загадочная тема. BleepingComputer пишет: "Чтобы замаскировать файл, исследователи придумали использовать бот Telegram для отправки файла с mime-типом «video/mp4», в результате чего Telegram отображает файл как общедоступное видео." Пользователь Хабра пишет, что механизм там несколько другой. Мне, честно говоря, именно эти подробности не очень интересны. Научились как-то маскировать и ладно.
Что делать? Windows зло и клиент Telegram под Windows тоже зло, сносите. 🙂
А если серьёзно, то
🔸 Отключить автоматическое скачивание картинок и видео выглядят разумной предосторожностью. Вполне допускаю в будущем наличие уязвимости именно в обработке изображений или видео Telegram-клиентом.
🔸 Веб-версия Telegram, по идее, должна быть безопаснее десктопного приложения. 🤷♂️
🔸 Идеально мессенджер, как и браузер, в виртуалке запускать, чтобы ещё больше осложнить злоумышленнику жизнь. 😏
А так, в первую очередь у разработчиков Telegram должна голова об этом болеть, а дело пользователей регулярно его обновлять. 😉
@avleonovrus #Telegram #RCE #pyzw #Python
🔹 Видео настоящее.
🔹 Это не zero-click RCE, калькулятор запускается после клика на превьюшку.
🔹 После клика на превьюшку скачивается и выполняется .pyzw файл (executable Python zip archive). Так что недавний фикс разработчиков Telegram, добавляющий нотификацию о потенциальной опасности при клике на .pyzw файлы (нотификации не было из-за курьёзной опечатки), на самом деле касался именно этой уязвимости.
🔹 BleepingComputer пишет про довольно сомнительную работу с файлами в Telegram: "неизвестные типы файлов, опубликованные в Telegram, будут автоматически запускаться в Windows, позволяя операционной системе решить, какую программу использовать". Файлы .pyzw были как раз такими "неизвестными" из-за опечатки. Кажется тут будет много граблей ещё и лучше бы по клику никогда ничего не запускать. 🤔
🔹 Почему .pyzw файл выглядит как превьюшка изображения - отдельная загадочная тема. BleepingComputer пишет: "Чтобы замаскировать файл, исследователи придумали использовать бот Telegram для отправки файла с mime-типом «video/mp4», в результате чего Telegram отображает файл как общедоступное видео." Пользователь Хабра пишет, что механизм там несколько другой. Мне, честно говоря, именно эти подробности не очень интересны. Научились как-то маскировать и ладно.
Что делать? Windows зло и клиент Telegram под Windows тоже зло, сносите. 🙂
А если серьёзно, то
🔸 Отключить автоматическое скачивание картинок и видео выглядят разумной предосторожностью. Вполне допускаю в будущем наличие уязвимости именно в обработке изображений или видео Telegram-клиентом.
🔸 Веб-версия Telegram, по идее, должна быть безопаснее десктопного приложения. 🤷♂️
🔸 Идеально мессенджер, как и браузер, в виртуалке запускать, чтобы ещё больше осложнить злоумышленнику жизнь. 😏
А так, в первую очередь у разработчиков Telegram должна голова об этом болеть, а дело пользователей регулярно его обновлять. 😉
@avleonovrus #Telegram #RCE #pyzw #Python
Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.
На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.
Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.
Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде...
Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.
Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие...
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉
@avleonovrus #Telegram #RCE #pyzw #Python #поёмCVE #fun #music
На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.
Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.
Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде...
Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.
Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие...
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉
@avleonovrus #Telegram #RCE #pyzw #Python #поёмCVE #fun #music
YouTube
Трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram
На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.…
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.…
Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков. Ура-ура! 🎉 На Территории Безопасности меня спросили: а зачем я этим занимаюсь, какая цель этого всего? Отвечаю. Цели нет. Есть путь. Рефлексия превращается в слова, слова собираются в пост, пост публикуется. Всё. Ну и в результате получается такая база перелинкованных постов на разные темы, в которой можно, при необходимости, что-то найти. Особенно приятно, что я эту базу утащил на свой хостинг, где она продолжит существовать после блокировки Телеграма. 😉
Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.
Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.
Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨💻
@avleonovrus #Telegram #tb2024
Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.
Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.
Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨💻
@avleonovrus #Telegram #tb2024
Об уязвимости "EvilVideo" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.
🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот payload также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.
🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.
Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.
@avleonovrus #ESET #Telegram
🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот payload также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.
🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.
Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.
@avleonovrus #ESET #Telegram
Последний год Телеграма в России?
14 августа Телеграму исполнилось 11 лет. По этому поводу было много восторженных постов. Действительно, главный мессенджер в России и очень удобный продукт. Не поспоришь.
Самое главное, что это одна из немногих нейтральных глобальных платформ, которой удаётся работать во множестве стран, применяя рациональную политику по удалению/фильтрации контента.
Ну или удавалось... 🤔
Мне кажется, что шансы на то, что в течение года Телеграм перестанет быть массово доступным мессенджером в России весьма высоки:
🔹 2 месяца подряд выносятся судебные решения со штрафами за неудаление контента: 13 августа, 8 июля. До этого штрафы были в 2023 и 2021 году.
🔹 Окончательное превращение ТГ в "супер-апп" со встроенным кошельком неизбежно вызовет вопросы у регуляторов во многих локациях, включая Россию.
Надеюсь, конечно, что всё-таки механизмы взаимодействия доработают и как-то договорятся. Но, скорее всего, не договорятся. 🤷♂️
@avleonovrus #Telegram
14 августа Телеграму исполнилось 11 лет. По этому поводу было много восторженных постов. Действительно, главный мессенджер в России и очень удобный продукт. Не поспоришь.
Самое главное, что это одна из немногих нейтральных глобальных платформ, которой удаётся работать во множестве стран, применяя рациональную политику по удалению/фильтрации контента.
Ну или удавалось... 🤔
Мне кажется, что шансы на то, что в течение года Телеграм перестанет быть массово доступным мессенджером в России весьма высоки:
🔹 2 месяца подряд выносятся судебные решения со штрафами за неудаление контента: 13 августа, 8 июля. До этого штрафы были в 2023 и 2021 году.
🔹 Окончательное превращение ТГ в "супер-апп" со встроенным кошельком неизбежно вызовет вопросы у регуляторов во многих локациях, включая Россию.
Надеюсь, конечно, что всё-таки механизмы взаимодействия доработают и как-то договорятся. Но, скорее всего, не договорятся. 🤷♂️
@avleonovrus #Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
Что будет дальше с Телеграмом в России? В связи с задержанием Дурова. В целом, варианта два:
🔻 Самый вероятный, что Телеграм сейчас отожмут. Обновленная администрация мессенджера станет недоговороспособной и в России его довольно быстро забанят. Ну и дальнейшая судьба Телеграма будет незавидна. Скорее всего, его с дисконтом купит американский бигтех и постепенно закопает.
🔻 Очень маловероятный, но, имхо, самый правильный. Команда Телеграма метнётся сейчас в Россию, перенесёт сюда компанию, а Дурова будут вытаскивать на межгосударственном уровне в порядке обмена. Телеграм тогда станет супер-успешным отечественным продуктом. На Западе его за это, конечно, побанят. Но там особых перспектив у ТГ и так нет. А на рынках, где он силён (в основном Global South), смена прописки особенно повлиять не должна.
Хочется верить в возможность второго варианта. Это был бы важный прецедент "возвращения заблудших мозгов" и пример для многих. Но расклад, думаю, 95 к 5 не в его пользу. 🤷♂️
@avleonovrus #Durov #Telegram
🔻 Самый вероятный, что Телеграм сейчас отожмут. Обновленная администрация мессенджера станет недоговороспособной и в России его довольно быстро забанят. Ну и дальнейшая судьба Телеграма будет незавидна. Скорее всего, его с дисконтом купит американский бигтех и постепенно закопает.
🔻 Очень маловероятный, но, имхо, самый правильный. Команда Телеграма метнётся сейчас в Россию, перенесёт сюда компанию, а Дурова будут вытаскивать на межгосударственном уровне в порядке обмена. Телеграм тогда станет супер-успешным отечественным продуктом. На Западе его за это, конечно, побанят. Но там особых перспектив у ТГ и так нет. А на рынках, где он силён (в основном Global South), смена прописки особенно повлиять не должна.
Хочется верить в возможность второго варианта. Это был бы важный прецедент "возвращения заблудших мозгов" и пример для многих. Но расклад, думаю, 95 к 5 не в его пользу. 🤷♂️
@avleonovrus #Durov #Telegram
Довольно забавно наблюдать в мейнстримных СМИ и не-ITшных каналах панику по поводу рабочей переписки в Телеграм и отсутствия альтернатив.
🔹 На самом деле в России разных мессенджеров (и корпоративных, и публичных) как у дурака фантиков. Ищем "российские мессенджеры 2024" и первой же ссылкой находим 11 вариантов. У одной только VK-шечки после громкого сворачивания ICQ и МейлРу Агента остались VK мессенджер и ТамТам. Хочется бесплатно и on-prem? Можно свой опенсурсный Mattermost поднять или XMPP сервер с открытым клиентом. Не совсем удобен опенсурс? Можно уже допиленный Mattermost с поддержкой от Т-банка взять. Я долго им пользовался, нормальная замена Slack-у. Положа руку на сердце, мессенджер это вовсе не rocket science. Есть даже проекты, которые дают экспириенс как в мессенджере, являясь фактически клиентом электронной почты, там вообще никакой инфраструктуры не нужно кроме почтового сервера. 🤷♂️
🔹 Основные причины почему люди продолжают пользоваться Телеграмом (именно как мессенджером, а не каналами) или, ещё хуже, WhatsApp-ом - это банальная лень и эффект уже набранной базы. Все же пользуются. Дефолтное средство связи. Вот и продолжают использовать, даже не пробуя поискать и попробовать что-то другое. Ну а если речь о корпоративном общении, то это ещё и забивание на элементарные требования ИБ. 🤦♂️
Имхо, переход на массовую альтернативу и для личного, и для корпоративного общения обязательно случится, когда заработают эффективные блокировки. Большая часть пользователей не будет заморачиваться их обходом и дефолтными средствами для общения станут другие продукты.
Была у нас в российском ИБ-мирке дефолтная соцсеточка, где "были все". Ну и что? Довольно быстро после начала блокировок соцсеточка таковой быть перестала. И практически все перекатились в телегу и VK. И в случае потенциального блокирования ТГ всё также будет норм.
@avleonovrus #Telegram #Messenger
🔹 На самом деле в России разных мессенджеров (и корпоративных, и публичных) как у дурака фантиков. Ищем "российские мессенджеры 2024" и первой же ссылкой находим 11 вариантов. У одной только VK-шечки после громкого сворачивания ICQ и МейлРу Агента остались VK мессенджер и ТамТам. Хочется бесплатно и on-prem? Можно свой опенсурсный Mattermost поднять или XMPP сервер с открытым клиентом. Не совсем удобен опенсурс? Можно уже допиленный Mattermost с поддержкой от Т-банка взять. Я долго им пользовался, нормальная замена Slack-у. Положа руку на сердце, мессенджер это вовсе не rocket science. Есть даже проекты, которые дают экспириенс как в мессенджере, являясь фактически клиентом электронной почты, там вообще никакой инфраструктуры не нужно кроме почтового сервера. 🤷♂️
🔹 Основные причины почему люди продолжают пользоваться Телеграмом (именно как мессенджером, а не каналами) или, ещё хуже, WhatsApp-ом - это банальная лень и эффект уже набранной базы. Все же пользуются. Дефолтное средство связи. Вот и продолжают использовать, даже не пробуя поискать и попробовать что-то другое. Ну а если речь о корпоративном общении, то это ещё и забивание на элементарные требования ИБ. 🤦♂️
Имхо, переход на массовую альтернативу и для личного, и для корпоративного общения обязательно случится, когда заработают эффективные блокировки. Большая часть пользователей не будет заморачиваться их обходом и дефолтными средствами для общения станут другие продукты.
Была у нас в российском ИБ-мирке дефолтная соцсеточка, где "были все". Ну и что? Довольно быстро после начала блокировок соцсеточка таковой быть перестала. И практически все перекатились в телегу и VK. И в случае потенциального блокирования ТГ всё также будет норм.
@avleonovrus #Telegram #Messenger