Assumindo contas do Telegram

Neste blog apresentarei pesquisas que fiz junto com Eran Vaknin e Dikla Barda sobre Telegram.

Neste estudo conseguimos assumir as contas do Telegram utilizando a plataforma Telegram Web, é importante notar que as versões Web são uma cópia completa de tudo o que é feito no dispositivo móvel.

Usando nosso método de aquisição, foi possível obter acesso total à conta do Telegram do alvo e, assim, acessar as informações pessoais do usuário:

  • Fotos e videos
  • conversas pessoais
  • Conversas em grupo
  • Enviando mensagens, etc.’…

Vídeo de demonstração:


Technical part

A aquisição do chat do Telegram é um pouco diferente da aquisição do WhatsApp que postamos no blog WhatsApp Account Takeover

Telegram Permite enviar documentos, fotos, vídeos e clipes de áudio. Começamos a pesquisa conduzindo uma investigação sobre o processo de upload dos documentos, diagnosticando o código e a lógica do sistema.

Notamos que os arquivos que carregamos apresentam ambiguidade-Telegram: ‘No chat vemos os arquivos por seu cabeçalho, mas ao mesmo tempo, quando os abrimos em uma guia separada, vemos o arquivo por seu mime_type.

Então, quando carregamos um arquivo, podemos ver o objeto t criado para nós, que contém todos os parâmetros do arquivo que carregamos e entre eles:
mime_type
O que parece assim.:

Para realizar o mesmo ataque que fizemos no whatsapp, temos que fazer com que nosso código javascript seja executado sob o domínio de telegram:
web.telegram.org
Fazemos isso pegando um arquivo de vídeo e inserindo nosso código html sob ele da seguinte maneira:

Assim realmente o chat do Telegram irá exibi-lo como um vídeo para tudo porque olha para o header (cabeçalho) do arquivo:

Mas se você abrir o clipe em uma nova guia clicando e selecionando
open video in new tab
Nosso código html será executado e, portanto, roubaremos o localStorage que contém o ID da conta exatamente da mesma maneira que em-whatsapp.

Para conseguir que alguém abra o vídeo/Imagem em uma nova janela Você pode simplesmente usar técnicas como exibição de meia imagem e texto:
Press on “open image in new tab” to see the full image
Ou exibir um video e escrever algo como:
Press on “open video in new tab” to see the full video

Assim que o usuário abrir nosso arquivo em uma nova guia, teremos acesso total à conta:

Outros artigos que você pode ter interesse: