Hace unos días se dió a conocer una gran cantidad de noticias acerca de un fallo de tipo 0-day en la aplicación de mensajería Telegram para las plataforma Windows y OS X. La noticia decía lo siguiente:

“Los cibercriminales explotaron la falla de Telegram para lanzar ataques multipropósito.

El carácter especial no imprimible de derecha a izquierda (RLO) se usa para invertir el orden de los caracteres que vienen después de ese carácter en la cadena. En la tabla de caracteres Unicode, se representa como ‘U + 202E’; un área de uso legítimo es cuando se escribe texto árabe. En un ataque, este personaje puede usarse para confundir a la víctima. Generalmente se usa cuando se muestra el nombre y la extensión de un archivo ejecutable: una pieza de software vulnerable a este tipo de ataque mostrará el nombre del archivo de forma incompleta o en reversa.

Lanzando un ataque a Telegram

A continuación se muestra una cuenta de cómo se explotó esta vulnerabilidad en Telegram:

    • El cibercriminal prepara el malware para ser enviado en un mensaje. Por ejemplo, un archivo JS se renombra de la siguiente manera:

evil.js -> photo_high_re * U + 202E * gnp.js

Donde * U + 202E * es el carácter RLO para que Telegram muestre la cadena restante gnp.js en reversa. Tenga en cuenta que esta operación no cambia el archivo real, todavía tiene la extensión * .js.

  • El atacante envía el mensaje, y – ¡sorpresa! – el destinatario ve un archivo de imagen PNG entrante en lugar de un archivo JS:

  • Cuando el usuario hace clic en este archivo, se muestra la notificación de seguridad estándar de Windows:

Es importante destacar que esta notificación solo se muestra si no se ha desactivado en la configuración del sistema. Si el usuario hace clic en ‘Ejecutar’, se inicia el archivo malicioso.”

Bien, es momento de analizar.

Bueno, esto no es una vulnerabilidad real en Telegram Desktop, nadie puede tomar control remoto de su computadora o Telegram a menos que abra un archivo malicioso. Este tipo de vulnerabilidad se basa en la ingeniería social, de hecho, era un archivo .js oculto en un archivo .png, esto sucedió gracias a los caracteres RTL. Los usuarios de Windows al igual que los usuarios de OS X deben hacer clic en el cuadro de diálogo “Ejecutar” para instalar el malware. Así que no te preocupes, a menos que hayas abierto un archivo malicioso, siempre has estado a salvo. Lo único que debes recordar es no ejecutar archivos desconocidos de fuentes inseguras.

Quien se encarga de realizar la anulación de derecha a izquierda, es Windows y OS X, no Telegram. Así que eso es una carácteristica de Windows y OS X que no tiene relación con Telegram. Si usted intenta realizar lo mismo desde un equipo con el sistema GNU/Linux, sencillamente no se puede.