Tenga cuidado al usar bots en Telegram

Tenga cuidado al usar bots en Telegram https://media.wired.com/photos/5c3fb9dc45e0ae2c6bccfad2/191:100/pass/eviltelegraph-547437242.jpg

Tenga cuidado al usar bots en Telegram





La mensajería segura La aplicación Telegram es significativa por dos razones muy diferentes. Una es que la aplicación es un go-to. herramienta de comunicación cifrada para cientos de millones de usuarios de todo el mundo, particularmente aquellos que buscan esquivar la vigilancia y la censura del gobierno en países como Rusia e Irán. La otra es que muchos expertos en criptografía tienen poner en duda Sobre la integridad del esquema de encriptación de Telegram. UNA nuevo reporte De la firma de seguridad web Forcepoint, sobre el uso de bots por parte de Telegram, tiene implicaciones tanto para los usuarios de Telegram como para sus críticos.
Los robots Telegram son pequeños programas que pueden integrarse en chats Telegram o en canales públicos y realizar una función específica. Pueden ofrecer teclados personalizados, producir memes de gato a pedido o incluso aceptar pagos y actuar como una tienda digital. Los bots son populares en Telegram, porque son divertidos y cómodos, y Telegram los ha apoyado desde el 2015. Son esencialmente cuentas automatizadas de Telegram; puedes agregarlos a los chats y canales como lo harías con un amigo. Pero mientras investigaba la plataforma bot, Forcepoint se dio cuenta de que la función no incorpora el algoritmo de cifrado que Telegram utiliza para proteger sus chats. Como resultado, la adición de un bot a un chat o canal socava su seguridad, lo que potencialmente hace que sea más fácil para un tercero interceptar mensajes.
"Esto es algo que le afecta si está operando un bot o está en un canal con bots", dice Luke Somerville, jefe de investigaciones especiales de Forcepoint. "Seré honesto, nos sorprendió cuando nos dimos cuenta de que la seguridad del bot es diferente a cómo funciona la mensajería normal".
Específicamente, los bots de Telegram no usan MTProto, el protocolo de encriptación de Telegram, que crea el marco en el que los mensajes de los usuarios se codifican y son ilegibles mientras están en tránsito entre los dispositivos del remitente y el remitente. Si bien los investigadores han planteado varias inquietudes sobre MTProto a lo largo de los años, Telegram sostiene que es sensato, si confía en Telegram con sus comunicaciones seguras, confíe en MTProto.
"Un bot socavaría drásticamente las propiedades de seguridad de un chat".
Kenn White, Proyecto de Auditoria Criptográfica Abierta
Pero la plataforma bot de Telegram se basa, en cambio, en el protocolo de seguridad de la capa de transporte utilizado en Cifrado web HTTPS. TLS es ideal para muchas cosas, pero no es lo suficientemente robusto como para actuar como el único cifrado en un servicio de comunicación seguro destinado a brindar protección avanzada. Es por eso que las aplicaciones como Signal y WhatsApp utilizan el Protocolo de Señal, y Telegram tiene MTProto. Sin embargo, al construir su plataforma bot sin MTProto, Telegram crea una situación en la que la introducción de un bot en un chat o canal esencialmente reduce su encriptación.
Forcepoint hizo el descubrimiento de una manera inesperada. Investigadores de seguridad tienen previamente encontrado Los bots de Telegram que controlan y controlan las aplicaciones maliciosas de Android, e incluso exfiltran los datos de los chats de Telegram a través de la API del bot de Telegram que utilizan los desarrolladores. La profunda integración de Bots en la aplicación los convierte en un peón popular en las estrategias de ataque. Mientras investigaba uno de estos esquemas de malware, Forcepoint descubrió accidentalmente que los chats de Telegram que incluyen bots han reducido la seguridad.
Los investigadores probaron una muestra de malware de gestión remota apodada GoodSender e identificaron el mecanismo dentro del código que esperaba comandos de un bot de Telegram. El malware incluía dos piezas de información de identificación y autenticación de Telegram, llamadas el token API del bot y la identificación del chat, que se utilizan para dirigir las consultas de los bots a los chats correctos. Armados con estos detalles, los investigadores se dieron cuenta de que podían crear solicitudes de API que esencialmente reproducirían todas las comunicaciones entre el autor del malware y su bot. Debido a que el pirata informático cometió el error de realizar todas sus pruebas y su implementación en una configuración de bot (en lugar de cubrir sus huellas con varias cuentas), los investigadores pudieron estudiar cómo había configurado, probado y eventualmente comenzó a implementar el malware. .
Mientras que los investigadores de Forcepoint utilizaron la API de Telegram para husmear en las comunicaciones del bot pirata informático como parte de un análisis de defensa bien intencionado, enfatizan que otra persona podría usar la misma técnica para hacer una mala investigación y mirar hacia atrás en toda una conversación en la que está presente un bot. Y incluso alguien que no tenga el token API del bot de chat y la identificación de chat de una muestra de malware podría potencialmente extraerlos de otras formas. Ambas piezas de información están integradas en cada comunicación de Telegram, por lo que los robots pueden saber qué datos o servicios enviar a qué chat.
La idea de que la característica propia de un servicio de mensajería segura podría degradar su esquema de encriptación, sin dar ninguna indicación visual al usuario, es preocupante. "Puedes crear tu propia cuenta de Telegram grabadora y decirle al bot que te envíe estos mensajes", dice Somerville. "Es relativamente trivial hacerlo, y puedes reenviar todos los mensajes en el canal al que ha tenido acceso el bot. Podrás leer todos los mensajes que han intercambiado".
Forcepoint ha estado en contacto con Telegram sobre los hallazgos, pero no comentó sobre sus interacciones con la compañía. "El tráfico de bots que pasa por HTTPS no es algo que deba 'descubrirse', es un documentado propiedad del sistema ", dijo Markus Ra, jefe de soporte de Telegram, en un comunicado." Este es un estándar de la industria. Tenga en cuenta que, de forma predeterminada, los bots de Telegram solo reciben mensajes que están destinados específicamente para ellos ". Telegram también argumenta que agarrar el token API del bot y la identificación de chat es similar a robar la contraseña de alguien a una cuenta; en ese momento, un atacante tendría acceso completo de todos modos La compañía no ofreció una explicación de por qué las comunicaciones de bot están protegidas solo con HTTPS y no con MTProto.
Aprovechar la menor protección en los chats y canales de Telegram que incluyen bots aún requeriría que un atacante pueda descifrar el tráfico de Telegram HTTPS. En el caso de Forcepoint, los investigadores lograron evitarlo esencialmente obteniendo las claves del reino en la muestra de malware en la que estaban trabajando. En general, un adversario relativamente sofisticado tendría que apuntarte para convertirte en un "hombre en el medio" de tu comunicación HTTPS. Pero la razón por la que las plataformas de comunicación seguras requieren un cifrado más avanzado es, en primer lugar, precisamente porque a veces es posible faltar HTTPS.
"En una situación en la que ciertos chats solo usan TLS debido a la funcionalidad del bot, un bot socavaría drásticamente las propiedades de seguridad de un chat", dice Kenn White, director del Proyecto Open Crypto Audit. "El uso de un protocolo que no sea parte del protocolo central para una integración de conveniencia no proporcionaría nada de la integridad o el beneficio de ese protocolo principal. Eso sería un compromiso de diseño intencional que socava drásticamente las garantías de seguridad".
Para mantener tus comunicaciones de Telegram seguras, no agregues bots a tus chats, y ten en cuenta que estás en chats y canales que los incluyen. Y para mantener los mensajes realmente secretos, siempre minimice la cantidad de personas en un chat para reducir la exposición. Sin embargo, muchos criptógrafos e ingenieros de seguridad, incluyendo a White, dicen que la forma más segura de usar Telegram es simplemente no usarlo. Dudan si Telegram es completamente cifrado de extremo a extremo (una protección que no está activado por defecto de todos modos) y se preocupa de que el protocolo MTProto personalizado sea difícil de examinar completamente. Pero para los 200 millones de seguidores de la aplicación, las diferencias de seguridad entre los chats que incluyen bots y chats que no son importantes.
"Para los desarrolladores de bots no hay mucho que puedan hacer al respecto, aparte de advertir a las personas que existe la posibilidad de este tipo de ataque", dice Somerville de Forcepoint. "Es desafortunado, es una decisión de diseño".
Actualizado el 17 de enero de 2019, 8:50 am ET y 11:50 am ET para incluir comentarios de Telegram.
Más grandes historias WIRED
http://platform.twitter.com/widgets.js    .


FUENTE ORIGINAL DEL ARTICULO LOS MEJORES SITIOS DE TECNOLOGIA
https://www.beviral.online

Comentarios

Publicar un comentario

Entradas populares de este blog

Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso

Imagen
Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso https://media.wired.com/photos/5c4bd1aaf254572cc21b81f8/191:100/pass/TrackerAdsAreBad%20(1).jpg Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso Defensores europeos de la privacidad dicen que el complejo proceso de licitación detrás de la publicidad conductual en línea amenaza la privacidad de los consumidores. Para colocar anuncios en las páginas web, las empresas difunden ampliamente lo que saben sobre un usuario que visita la página, incluidos datos potencialmente confidenciales sobre el tipo de contenido que la persona ve, escucha o lee. Los nuevos documentos presentados el lunes ante los reguladores en Polonia, el Reino Unido e Irlanda afirman que la forma en que se manejan los datos personales durante el proceso de hacer coincidir los anuncios con los espacios publicitarios no cumple con los requisitos de la Unión Europea. Reglamento general de p...
Leer más

¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir

Imagen
¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir https://static.foxnews.com/foxnews.com/content/uploads/2018/09/dcd037e4-Apple-Event_Vros.jpg ¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir Foto del archivo: El CEO de Apple, Tim Cook, habla sobre el nuevo Apple Watch durante un evento de Apple el lunes 9 de marzo de 2015 en San Francisco. (Foto AP / Eric Risberg) manzana El reloj ya ha sido acreditado con salvando vidas alertando a los portadores sobre las condiciones del corazón. ¿Pero puede el smartwatch prevenir golpes? Un nuevo estudio de Johnson & Johnson pretende descubrirlo. La compañía farmacéutica se está asociando con Apple para estudiar si las notificaciones de ritmo irregular del wearable y la aplicación de ECG en el Apple Watch Serie 4 pueden ayudar a acelerar el diagnóstico de fibrilación auricular (una enfermedad cardíaca que puede provocar un accidente cerebrovascular) y mejor...
Leer más

Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores...

Imagen
Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores... https://www.gannett-cdn.com/presto/2019/01/10/USAT/55317dbc-b9c3-4865-aa96-228ae272a325-fazoli.jpg?crop=1240,698,x0,y0&width=3200&height=1680&fit=bounds Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores federales CERRAR Los empleados federales sin permiso recurren a las clases de improvisación durante el cierre del gobierno en el Washington Improv Theatre. Jack Gruber, USA HOY Llámalos "ofertas especiales de apagado" y "regalos gratuitos". Mientras que un acuerdo para poner fin al cierre de gobierno más largo parece estar muy lejos Algunas empresas están ofreciendo a los trabajadores federales con licencia un poco de alivio que va desde comidas gratis, descuentos en restaurantes, aplazamiento de pagos y préstamos sin interés. Alrededor de 800,000 empleados federales han estado sin...
Leer más