{"id":4729,"date":"2018-02-15T11:18:08","date_gmt":"2018-02-15T08:18:08","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=4729"},"modified":"2019-11-15T14:43:36","modified_gmt":"2019-11-15T11:43:36","slug":"telegram-rlo-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/telegram-rlo-vulnerability\/4729\/","title":{"rendered":"Telegram’daki bela resimler"},"content":{"rendered":"

Mesajla\u015fma uygulamalar\u0131, sadece ileti\u015fimde kalmak i\u00e7in yararl\u0131 bir ara\u00e7 olmaktan ziyade, ayn\u0131 zamanda davetsiz misafirlerin de hayat\u0131m\u0131za girebildi\u011fi a\u00e7\u0131k bir penceredir. Facebook Messenger, Skype, Viber, WhatsApp ve di\u011fer platformlar arac\u0131l\u0131\u011f\u0131yla casusluk yapan Android Truva At\u0131 Skygofree<\/a>\u2018yi sanki daha d\u00fcn tart\u0131\u015ft\u0131k gibi geliyor. \u0130\u015fte, bug\u00fcn de uzmanlar\u0131m\u0131z taraf\u0131ndan tespit edilen bir\u00e7ok yeni i\u015flevli bula\u015fmadan bahsedece\u011fiz. Bu yaz\u0131l\u0131m, masa\u00fcst\u00fc bilgisayarlar\u0131 takip ediyor ve Telegram yoluyla yay\u0131l\u0131yor, hem de ustal\u0131kla.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m yavru kedi resmiyle geliyor!<\/h2>\n

Truva at\u0131 yarat\u0131c\u0131lar\u0131n\u0131n temel g\u00f6revlerinden biri, kullan\u0131c\u0131lar\u0131n k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131 \u00e7al\u0131\u015ft\u0131rmas\u0131d\u0131r. Bunun i\u00e7in de tehlikeli dosyalar\u0131 masumlarm\u0131\u015f gibi maskelemek i\u00e7in bir dizi dalavere \u00e7evirirler.<\/p>\n

Bu \u00f6zel hile i\u00e7in Arap\u00e7a ve \u0130branice gibi baz\u0131 dillerin sa\u011fdan sola do\u011fru yaz\u0131ld\u0131\u011f\u0131n\u0131 unutmaman\u0131z gerekiyor, ayr\u0131ca bilgisayar standard\u0131 ve neredeyse her yerde bulunan karakter seti Unicode da kelimelerin y\u00f6n\u00fcn\u00fc de\u011fi\u015ftirmek i\u00e7in bir yol sa\u011fl\u0131yor. \u00d6zel bir g\u00f6r\u00fcnmez karakter kullanarak takip eden har dizisini otomatik olarak ters s\u0131rada g\u00f6sterebilirsiniz. \u0130\u015fte son sald\u0131r\u0131da korsanlar bunu k\u00f6t\u00fcye kulland\u0131.<\/p>\n

Bir siber su\u00e7lunun Trojan.js ad\u0131nda k\u00f6t\u00fc ama\u00e7l\u0131 bir dosya olu\u015fturdu\u011funu d\u00fc\u015f\u00fcnelim. JS uzant\u0131s\u0131ndan g\u00f6rebilece\u011finiz \u00fczere bu bir JavaScript dosyas\u0131 ve \u00e7al\u0131\u015ft\u0131r\u0131labilir kod i\u00e7erebilir. Dikkatli bir kullan\u0131c\u0131 bu i\u015fte bir bit yeni\u011fi oldu\u011funu g\u00f6r\u00fcp program\u0131 \u00e7al\u0131\u015ft\u0131rmaz. Ama doland\u0131r\u0131c\u0131m\u0131z dosyay\u0131 yeniden adland\u0131rabilir, \u00f6rne\u011fin \u015fu \u015fekilde: cute_kitten*U+202E*gnp.js.<\/p>\n

Bu da kullan\u0131c\u0131ya \u00e7ok daha k\u00f6t\u00fc g\u00f6r\u00fcn\u00fcr, fakat buradaki U+202E, sonras\u0131nda gelen harf ve noktalama i\u015faretlerini sa\u011fdan sola dizili g\u00f6steren Unicode karakteridir. Sonu\u00e7ta dosya ad\u0131 \u015fu \u015fekilde g\u00f6r\u00fcnt\u00fclenir: cute_kittensj.png. \u015eimdi de dosya uzant\u0131s\u0131 PNG olarak g\u00f6r\u00fcn\u00fcyor: tamam\u0131yla normal bir resim dosyas\u0131 gibi g\u00f6r\u00fcnmesine ra\u011fmen asl\u0131nda JavaScript Truva at\u0131.<\/p>\n

Unicode kullanarak dosyay\u0131 yeniden adland\u0131rmak yeni bir i\u015flem de\u011fil. On y\u0131l \u00f6nce<\/a> k\u00f6t\u00fc ama\u00e7l\u0131 e-posta ekleri ve dosya indirmelerinde kullan\u0131l\u0131yordu, bir\u00e7ok ortam da art\u0131k buna kar\u015f\u0131 korumal\u0131yd\u0131. Ama Telegram ilk hedeflendi\u011fi zaman, bu y\u00f6ntem i\u015fe yarad\u0131. Ba\u015fka bir deyi\u015fle, ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z\u0131n anlad\u0131\u011f\u0131na g\u00f6re Telegram\u2019da s\u00f6zde RLO g\u00fcvenlik a\u00e7\u0131\u011f\u0131 var (daha do\u011frusu, vard\u0131).<\/p>\n

Yavru kedi resmi madenciye veya arka kap\u0131ya d\u00f6n\u00fc\u015f\u00fcyor<\/p>\n

Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 yaln\u0131zca Telegram Windows istemcisinde tespit edildi, mobil uygulamalarda de\u011fil. Uzmanlar\u0131m\u0131z varl\u0131\u011f\u0131n\u0131 ke\u015ffetmekle kalmay\u0131p sald\u0131rganlar\u0131n onu etkin bir \u015fekilde kulland\u0131klar\u0131n\u0131 da \u00f6\u011frendi. Kurbanlar\u0131n i\u015fletim sistemleri bilinmeyen bir kaynaktan y\u00fcr\u00fct\u00fclebilir bir dosyay\u0131 \u00e7al\u0131\u015ft\u0131racaklar\u0131 zaman uyar\u0131da bulunurlar; bu da birka\u00e7 alarm\u0131n \u00e7almas\u0131na neden olmal\u0131, ama \u00e7o\u011fu insan mesaj\u0131 okumadan \u00c7al\u0131\u015ft\u0131r d\u00fc\u011fmesine bas\u0131yor.<\/p>\n

\"\"

Bunun gibi bir pencere g\u00f6r\u00fcrseniz durun ve d\u00fc\u015f\u00fcn\u00fcn. Asl\u0131nda sadece durun.<\/p><\/div>\n

\u00a0<\/p>\n

Bir kere \u00e7al\u0131\u015ft\u0131r\u0131ld\u0131\u011f\u0131nda k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m ger\u00e7ekten de \u201c\u015firin yavru kedi\u201d resmi a\u00e7arak olas\u0131 alarmlar\u0131 bast\u0131r\u0131yor. Truva at\u0131, yap\u0131land\u0131rmas\u0131na ba\u011fl\u0131 olarak, perde arkas\u0131nda \u00e7al\u0131\u015ft\u0131rmak \u00fczere farkl\u0131 y\u00fcklerle gelir.<\/p>\n

Bu y\u00fcklerin bir t\u00fcr\u00fc gizli madencidir<\/a>. \u00c7al\u0131\u015ft\u0131rd\u0131\u011f\u0131n\u0131zda sald\u0131rganlar\u0131n kripto para birimi madencili\u011fi i\u00e7in bilgisayar yava\u015flar, fazla \u0131s\u0131n\u0131r ve genellikle de bir yerden patlak verir. \u0130kinci t\u00fcr ise siber su\u00e7lular\u0131n bilgisayar\u0131 uzaktan kontrol edip program y\u00fckleyip kald\u0131rmaktan ki\u015fisel veri toplamaya kadar istedikleri her \u015feyi yapabilmeleri i\u00e7in kulland\u0131klar\u0131 arka kap\u0131<\/a>d\u0131r . Bu t\u00fcr bula\u015fma kullan\u0131c\u0131 en ufak bir \u015feyden bile \u015f\u00fcphelenmeden \u00e7ok uzun bir s\u00fcre boyunca sakl\u0131 kalabilir.<\/p>\n

Sakin olun ve ortal\u0131\u011f\u0131 velveleye vermeyin<\/h2>\n

Ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z Telegram\u2019\u0131n geli\u015ftiricilerine g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 hemen bildirdiler, onlar da (bunu k\u00f6t\u00fcye kullanmak isteyen siber su\u00e7lulara inat) bu sorunu \u00e7\u00f6zd\u00fcler. Yine de bu Telegram ve di\u011fer pop\u00fcler anl\u0131k mesajla\u015fma uygulamalar\u0131n\u0131n g\u00fcvenlik a\u00e7\u0131\u011f\u0131 i\u00e7ermedi\u011fi anlam\u0131na tabii ki gelmiyor. Sadece hen\u00fcz rapor edilmediler. Bu y\u00fczden de gelecekte olabilecek salg\u0131nlara kar\u015f\u0131 korunun ve birka\u00e7 basit g\u00fcvenlik kural\u0131n\u0131 g\u00f6zden ge\u00e7irin. Bunlar sosyal medya, anl\u0131k mesajla\u015fma ve di\u011fer elektronik ileti\u015fim ara\u00e7lar\u0131 i\u00e7in ge\u00e7erli:<\/p>\n