Устройства для контроля и безопасности

Взлом чужих учётных записей WhatsApp и Telegram

здравствуйте коллеги очень-очень группу
слышно меня там не смотри на что крутов
коллеги
добрый день зовут меня роман заикин
и мы с вами как раз будем говорить о том
как взламывать аккаунты в телеграме его
царь с коллегами месте
бардо и и в окном из чекпоинта мы нашли
все эти баги
к сожалению из израиля смог приехать
только я один
они не смогли приехать выступаю в
одиночку давайте начнем давайте
собственно поговорим о конкретных
уязвимости в общем-то все начинается с
того что атакующий посылает невинно
такой прилично выглядящий файл жертве
ну и собственно запуск этого файла
дальше дает полный доступ к вашему
аккаунту такой в общем-то очень простой
примитивный хочешь сказать бак мы вот с
вами детально разберем по ходу моей
презентации тот же самый бак мы нашли не
только вот сопи
но и в телеграме 5 технические детали мы
рассмотрим на примере вот sopa но дальше
еще димка будет в общем вы получите
удовольствие в чем потенциальные ущерба
связанный с этой лизе мастер но после
использования и этой уязвимости а также
сможет это прочитать собственно все ваши
читаю все ваши дискуссия посмотреть ваши
фотки видеоролики получить доступ к
вашим контактам и х и плюс как мы с вами
знаем что есть в версии соответствующих
мессенджеров которого является чистой
репликой мобильные версии ну совместно у
атакующего будет возможность и все
старые вашей дискуссии посмотреть ну и
пойдем вы будете звонить какие-то новые
чат и они тоже будут доступны атакующему
второй дайвинге
причем мы с вами углубимся в технические
подробности я хочу сказать пару слов об
intent шифрование вот вишня есть три
тезиса во-первых сквозная шифрование то
коммуникационная система в которой
предполагается что только два как бы
основных плановых участника могут все
прочитать ну то есть отправитель и
получатель сообщения больше никто то
есть вроде как все это придумано ровно
для того чтобы все посторонние
посторонние люди не могли получить
доступ к содержания беседа понимаете как
все это устроено да есть пара ключей
приватный публичные ключи один нам нужно
лишь шифрование другой для дешифрования
me
ну и наконец считается что сообщения
шифруются и действительно только у двух
участников коммуникации есть ключ для
дешифрования получается вот такая
красота сквозное шифрование вроде
большое достижение человеческой
цивилизации приведу простенький пример
прошу прощения за примитивность его для
кого-то есть у нас а боб который хочет
цель из пообщаться элис отправляет свою
личный ключ бабу боб использую этот
публичный ключ для шифрования своих
сообщений для alice alice использует
свой частный приватный ключ для
дешифрации этого же сообщения для того
что отправить богу сообщение или
использует его публичный ключ ну и там с
его стороны работа и та же самая история
тут в общем все понятно
давайте для начала обсудим как нет нужно
пытаться взламывать сквозной шифровать
мы с вами хорошо знаем на что различные
правительства и связанные с ними
правоохранительные структуры пытаются
конечно взломать существующие механизмы
шифрования и получить доступ к частным
да да
при всем при этом даже авторы систем
шифрования говорят что они это свои
страны конечно не могут а и вообще
никакие третьи стороны не могут получить
доступ к вашей да вот здесь я вам хотел
процитировать что-то из-за
вот саровского блога видите написано что
система скажу шифрование вотсап
гарантирую что только вы и ваш отыскать
друг могут прочитать даже мы и мол не
можем прочитать вашу переписку
подчеркивает вот сам говорит мы не можем
прочитать что вы там пишете
все ваши данные шифруются при помощи а
часто стандартные системы шифрования
каждое сообщение которое вы отправляете
снабжается уникальным ключом здесь даже
не нужны ни какие то палаты настройки
включаются создавать какой там
специальный секретный чат по умолчанию
шифруется все очень когда мы начали свою
советский проект
мы как наверное другие исследователи
решили найти если какие-то недостатки в
реализации этой системы может быть можно
как-то легко взломать систему сквозного
шифрования
ну и заодно почитать что-то мне друг
друга пишет после недели исследования мы
выяснили что сквозное шифрование очень
круто реализовано то есть никаких багов
в реализации не нашли вроде все очень
хорошо написана хороший качественный код
но дальше мазались опрос а зачем нам
вообще ломать сквозное шифрование то не
обязательно вместо этого нужно
использовать сквозное шифрование даже
если соответственно вот sap и telegram
не могут считать может быть мы можем
отправить копыта вредоносный код
получателю ну круто тогда значит вот
сапой telegram то не будут одни о чем
догадываться раз они не знают содержание
переписки и это позволяет нам как бы
ниже радара действовать таким образом
получается мы ставим службы сквозного
шифрования себе на службу получается что
вот sopa телеграф для нас создали
совершенно прекрасно защищенный туннель
таким образом даже авторы системы даже
условные вот sopa и telegram не обратят
внимание но то что мы очень круто там
разворачиваем свою атаку мы около 2
месяцев практиковались в этом деле
ничего вот так не засек
теперь мы обсудим уже подробности
не буду вас больше мучить скучными
деталями ск возможность шифрования для
того чтобы хак ну че нибудь аккаунт нам
нужно было изучать клиентский айди для
этого нужно отправить ну какой-то
контент какой-то полезно нагрузка тип
файла у дам для того чтобы собственно
выкрасть данная аккаунта сейчас я не
вспомнишь там был ну положим какой-то
документ мы подгружаем потом мы изучаем
все функции которые собственно
запускается в процессе загрузки обращаем
внимание на то что здесь вряд ли учета
рассмотрите но так или иначе вот там вот
есть функция под названием док mems
токмо им тайском называется
ну ничего не сможете прочитать на слайде
поверьте мне на слово в общем док маемся
фактически найдете белый список
допустимых man типов когда мы подгружаем
какой документ
видимо с ним собирается программа но
очевидно что тип док собственно говоря
вот белый список входит мы решили
подгрузить html-файл узнали сразу чтобы
у dice и мы чтим и файл под грузим
подгрузили
дальше
поставили breakpoint еще до запуска док
майма
ну и собственно добавили к списку html в
общем очень удачном удалось подгрузить и
отправить получателю html-файл
собственно с этого началась наша атака с
успешной отправки очки мои файла дальше
мы запросто можем ли мы как-то изменить
название файл это тоже достаточно легко
выполняется мы назвали свой файл sanicat
подгрузили html-файл назвав его фанник
этом и очень легко собственно файл
дальше ушел получателю с измененным
названием
после этого
ну а понять дело получатель у нас на
файл нажимаем файл загружается
загружается domini в под саб ком то
здесь можно было бы даже вставить ее код
на java скрипте
и он бы тогда получил доступ к корр всей
как бы всему хранилище браузера а значит
получает получаем и таким образом доступ
к кредит шел с пользователем можем их
перебросить на свой backend ну а дальше
уже вставить кредит shows a в любой
скрипт который будем запускать своей
стороны
то как именно хранятся эти данные 1000
отдельный вопрос нужные изучить может
быть они где-то фуке заложены может быть
нет нужно было изучить
выяснил что все в локальном хранилище де
содержатся то есть в принципе написать
очень просто java script которые при
нажатии пользователем на приствольный
файла у нас все кредит что с перебросить
на наш backend дальше мы напишем
соответствующий java script который
извлекает из кредит shows и их уже в
нашем браузере например запускает ну и
таким образом мы получаем доступ к
аккаунту пользователя мы как
переключаемся на его аккаунт и там уже
виде все в информацию все его дискуссии
фотки видосы ну собственно вся
информация которая приходит человеку на
мобильный телефон приходит за 1 к нам в
наше как бы в прижим веб-клиент пора уже
мне кажется демку показать
как видите здесь справа мы уже вошли
прошлых не мы находимся в аккаунте
злоумышленника но вот там вот у нас
показана наша
выбранная жертва а можно как-то
разрешение улучшить а тот же ничего не
понятно будет
рука мы можем что сделал с разрешением
помогите мне пожалуйста ну ладно я буду
значит
объясняет тоже есть происходит потому
что рассмотреть на экране мне кажется вы
не сможете никак вот справа увидеть мы
меняем название файла вместо то пишется
пишем фанник и прикольная кошка копируем
док моим type сбрасываем все это в
консоль здесь вы видите спуск всех
допустимых майн type of но мы сюда ещё
добавили так саги речке миль в самом
конце это вы видите в нижней части
консоли
после этого собственно можно уже любой
части мыльник туда подгружать где-то наш
поникнет
можно добавить сюда смайликов чтобы
вообще ни о чем не догадался пользовать
вот мы с вами заходим в экран жертвы
когда приходит файл вроде как обычный
файл со смайликами и с названием фанника
если у нас жертва нажимает на
соответствующий файлик
вот картинка
ну и вот там сверху как раз видеть
адреса вдовы подсаком
то есть мы получаем при этом доступ к
локальному хранилище параллельно с этим
у нас все данные уходят
злоумышленнику и как я уже говорил мы
там собственно говоря уже про писали
отдельный скрипт который собственно ждет
данных из-за локального хранилища жертвы
и как только он эти данные выдергивай
данных вставляет для аутентификации и
ура мы с вами переключаемся на своей
машине на аккаунт жертвы
таким вот простым образом злоумышленник
может отправить простенький файл любому
пользователю достаточно на него просто
нажать для того чтобы сдать
злоумышленнику доступ к своему аккаунту
но дальше можно как меняете видоизменять
от аккаунт любым образом
только что мы с вами показали как можно
отправить обычные казалось бы файл мы
решили на этом не останавливаться
мы решили запроса как можно еще не
навязчивы использовать свой файл как же
нам выдать свой файл за что-то еще менее
опасная тоже есть люди которые не на всё
подряд будут нажимать в общем и
подгрузили такую обычную картинку и
посмотрели как собственно она может
дальше видоизменяться каковы особенности
обычных картинок которые нам могли быть
интересно ну скажем так сравнении с
возможностями использования земель файла
с точки зрения вот sopa у вас для
картинки есть еще и возможность
превьюшки в общем и поиграли с
параметрами превью режима
его смотрите что получилось мы научились
отправлять
такого невинного вида и чтимые файлы с
любыми превьюшка me ну если так
получается гибрид между картинкой
html-файла
то есть можно отправить не знаю в группу
большую сотни пользователей вот такую
ссылочку но и половина из них наверняка
же щелкнет посылочки ура вы сразу
получаете десятки а то и сотни аккаунтов
и я даже написал расширение крому
которая собственно говоря будет с одной
стороны
грабить как бы все эти коридор shows
пользователя с другой стороны у меня
потом будет простенький in капец для
переключения между всеми этими каунтер и
мы собственно уже какое-то количество
демок на эту тему проводили
давайте покажу как собственно это можно
сделать как можно сделать такой
гибридный такой гибридную чтимой
картинку
подгружаем обычную картинку
тут мы с вами видим основные параметры
до превью высота ширина и т.д.
вот это все мы собственно говоря
грабим да и прочнее просто копируем в
описании ведем превьюшки дальше
подгружаем и steam или файл
но для этого как обычно нужно добавить 4
more time
type of список док miles
надеюсь еще один breakpoint поставил
то есть за грубая секунду начал шваль
нам нужно еще добавить свойства
заходим в свойства html-файла и здесь
никакой превью то еще не указано потому
что и чтим elephant поддёрни картинка
ну это не проблема мы вполне можем
вставить сюда параметры превьюшки
скопированные ранее и получаем вот такой
вот шнягу теперь у нас и у чтимый файла
появляется такая привычка подчеркивал
превьюшка может быть любой достаточно
нажать на это превьюшка вы спенсера
можно много разных привлекательных
картинок заложить чтобы большинство
людей нажал на эту картинку и все вы
получаете учетные данные пользователя а
то и ни одного пользователя
теперь давайте про telegram то же самое
посмотрим
вместе с двумя своими коллегами я
задался вопросом а что если вокруг
сделать то же самое в другом мессенджере
вот есть вроде как крутой защищенный
мессенджер telegram можем ли мы сможем
точно также как бы подставить другой
моим тип и таким образом запустить
обеспечиваешь запуска html-файла
может быть логика работы телеграма та же
самая вдруг мы сможем даже тем самым
скриптом воспользоваться и в общем-то и
но ты из мы смогли полностью доказать ну
вот нам несколько часов потребовалось на
то чтобы убедиться в том что в том же
совершили прошу прощения
убедиться в том что в телеграме тот же
самый баг работает и эксплуатировать 100
же самую зримость код но не идентичные
ночь похожий внутренняя логика очень
похожая да и функционал то в общем тот
же самый ну вот у нас есть объект под
названием т в котором как бы у нас будет
заложен html-файл
вот собственно в атрибутах майн type мы
находим соответствующую строчку
убеждаемся в том что собственно говоря
там немножко по-другому тип нужно
записать нужно видео mp4 записать туда
берем обычный mp4 файл и просто к его
концу забиваем свой пайлот html и тут же
самое что и в предыдущей демки
подгружаем его в телеграм и дальше
меняем моим type говорим это теперь не
шпинель это mp4 и вот что вы получаете
вы получаете вроде как обычный
видеоролик ну внешне
ролик но на самом деле это чтимый файл в
котором есть java script код который при
запуске заберет данные и из локального
хранилища где как а помните лежат все
криденс и отправит а злоумышленнику ну и
таким образом злоумышленник получает
полный доступ к вашему аккаунту в
телеграме но при этом если вы нажмете на
ролик ролик вас произведется а нам-то
нужно java script запустить
пытались найти способ запустить java
script и выяснили что если у нас
видеоролик откроется в отдельные вкладки
то это полностью соответствует нашим
интересам сначала запустится речке миль
код ну и в этом случае действительно
продавец уже вся описанная история java
script заберет все ваши учетные данные
перри просто и злоумышленнику
но логика здесь все то же самое что и
случае с вот сапом то есть и из
локального хранилища мы крадем все
личные данные перебраться на машину
злоумышленника
мне кажется мы уже сами готовы днк
посмотреть
слева мы сами видим злоумышленника
машина справа машину жертва
здесь я пишу хочешь покажу крутой ролик
gert отвечает конечно
я прошу прощения похоже вы ничего не
можете рассмотреть на экране
ну вот здесь как раз показываю что мы
изменяем списком антипов регистрируем
нашей теме никак видео mp4
там у нас написано что как раз получает
видеоролик наша жертва
и если дальше жертву запускает этот
ролик то действительно ролик вроде
воспроизводится 25 самых опасных сэлфи в
истории человечества
то есть нам с вами нужно провести
какую-то фишинга вую атаку для того что
пользователя в новые вкладки запустил
ролик ну потому что это как
неестественное движет тело движения для
пользователя открывать новую вкладку
к этому нужно подтолкнуть человека здесь
вот пишем на для того чтобы полностью
посмотреть ролик откройте в отделе
вкладке
все же считаю что просмотр видеоролика
дело безопасность тот же самый ролик
считаете вы никогда же раньше такого
вектора атаки не было в чем же опасность
точки зрения рядового пользователя нет
никакой опасность если не обещают
хороший интересный контент но глупо
отказываться и тут подписано что так то
в мелком окошке придется смотреть и
всего до нужно чтобы в полном размере
посмотреть открыть в новой вкладке нигде
не нужно не знаю вводить пароль от
фейсбука там рассказывать девичью
фамилию матери достаточно просто открыть
равно в новой вкладке это вроде
абсолютно безопасно поэтому естественно
что поиск на соглашается витязь ручками
как раз указывая что нужно ролик открыть
в новом в новой вкладке
и вот видите слева у нас как раз
срабатывает java script нам даже кот не
нужно было менять код остался тем же
самым
и вот смотрите что происходит дальше
человек наслаждается роликом а мы
заходим его аккаунт и можем прочитать
все его чатике
посмотреть все его фоточки и сам главное
что пользователь то сам этого не
замечает ему об этом не приходит никаких
уведомлений
потому что токен используется тот же
самый тот же самый набор у как бы
учетной информации те же самые creedence
прелесть проблем и
кстати говоря telegram жил нас круто
защищен двухфакторной аутентификации все
дела понятное дело что мы теперь можем
увести аккаунту пользователя и он больше
не сможет него зайти сейчас крючка
вернусь презентацию
soul
понятное дело что мы его цапу и
телеграмму рассказали об этом баге идти
по силе что это не красивая история
telegram очень быстро все исправил
позитива цап за два за 24 часа прошли
вот сапой телеграф все исправили и
теперь собственно как работает их
система производится проверка man типов
не только на стороне отправляющего но и
на стороне применить принимающего а с
этим списком уже гораздо труднее
злоумышленнику работ то есть от вектор
атаки врать как закрыт что сделал
телеграммы как они решили пофиксить эту
проблему теперь если вы видео погружаете
файлы например html telegram со своей
стороны проводит реконструкцию files in
with что вы склеили как бы и чтим эль и
видеоролик они вычищают и чтим эльку
остается только чистый ролик ну и таким
образом пользователь уйдет только ролик
таким образом мы показали что для того
чтобы хакнуть местным же совершенно
необязательно я хака система сквозное
шифрование можно просто хакнуть клиент и
выяснилось что оба клиента обеспечивая
сквозное шифрования оказывается
абсолютно слепы к вашим попыткам мы их
скомпрометировать у меня все спасибо
если есть вопросы сейчас самое время их
задать вы можете задавать вопросы по
русски я их понимаю по-русски на
отвечать буду по-английски потому что не
так уж хорошо говорю понимаю лучше
сказали point and in криптон и все такое
а показывали о том как взломать и
десктопный telegram дин клип шин нет
вообще и взорвал его вы не получаете
доступ к информации зашифрованных
chateau с телефона right
не кажется ли вам это профанацией
а про профанации то что такое два слова
не знаю попробую ответить все равно мы
начали с того что пытались найти
какие-то недостатки в выполнении скажи
сказанного шифрования и не сразу
разобрались в том что в общем то там все
чисто но можно с другой стороны зайти и
больше то мне кажется даже красивым то
что мы научились использовать своих
интересах хороший механизм сквозное
шифрование мы отправляем здесь данный на
backend там вроде логе есть и все дела
вот если бы не было системы сквозного
шифрования и наши атаки были бы раскрыты
но поскольку не ватсап не telegram
фактически не дешифрует трафика своих
пользователей мы можем спокойно не дите
катеру им ими действовать все еще раз
пожалуйста а вы пробовали варианта в
gc-версии вы имеете должны не бегаю по
persistent в web conti контексте этого
приложения но другие слова можете ли вы
заново войти в аккаунт после того как
пользователь выходит из своей учетной
записи но вы же помните там есть себя
более где вы ставите галочку запоминать
меня
то есть вы можете закрыть браузер я все
равно останусь у вас в аккаунте это вот
сопи а в телеграме ты еще лучше потому
что мультисессии поддерживаются ты всё
можешь сколько угодно выгружаться из-за
в версии а я там все равно старания все
равно можете отключить да вы можете
зайти в админку проспери не зайти в
настройки и и там вы увидите все
существующие задания можно отключить все
еще вопрос пожалуйста вопрос такой вот
вы говорите что
видос открывается в отдельные вкладки ну
и при этом рендерится как html
сразу вопрос выжигаете что вымоем тип
изменили на mt 400 млн из камня на
расширение там не html и начинается
вроде из html текст
как же так выходит
потому что мы берем реально mp4 файл в
конце файла добавляем html content
и расширение сходно конечно было html
когда мы его подгружаем в telegram силе
telegram запускает всячески миль файл
reader и когда вам в превью все
показывается видео показывается из-за
хедера но по сути там html файл там вот
файл системный юра есть к работам есть
какой-то него уникальная техника общем
очки не работает в фоновом режиме то
есть расширение там все-таки . ешьте
майдане могу показать из хотите меня
где-то на одном из скринов это было еще
из опроса просто жениха расширена если
что я же буду на стенде чекпоинт по
окончании презентации можете ко мне
подойти кит кулуарные вопросы задать
ничего не удалось и на iphone ну там
тоже может просто фишинговый атаку
провести у меня димка есть не просто
кажет не интересно бы я там могу скажем
прислать вам не знаю какой нибудь
подложный платеж например но там
неинтересно делать там уж там во в
локальном хранилище у вас придерживался
не лежат но можно использовать тот же
вектор для того чтобы начать какой
другой атаку
можно комбинировать
этот путь с тем же самым вы браузером
например ну захвате захватить аккаунт
так нельзя да знай фоне не знаю как
сделать
тогда все спасибо за внимание
[аплодисменты]
если будут еще вопросы подходить ко мне
пожалуйста на стенд чекпоинт я с
удовольствием отвечу
Made on
Tilda