俄羅斯網絡安全公司卡巴斯基實驗室週二稱,他們發現了聊天軟件Telegram(電報)桌面版的一處安全漏洞,黑客可以利用該漏洞植入用於加密貨幣挖礦的惡意軟件。
卡巴斯基在一份聲明中表示,自2017年3月以來,該惡意軟件已將攻擊目標鎖定為俄羅斯用戶,而且通過控制使用Telegram的用戶電腦,來挖掘向門羅幣(Monero)和零幣(Zcash)等加密貨幣。
據Telegram最近發佈的一份白皮書顯示,該軟件在全球最受歡迎的移動聊天工具排行榜中位列第9,預計其用戶數量將在2018年第一季度達到2億。
Telegram中用於「識別阿拉伯語和希伯來語」的功能被黑客所利用,因為這兩種語言的文本都是從右向左讀的。通過在該功能中使用隱藏字符,改變字母的順序,黑客們就可以對文件進行重命名,從而就能安裝惡意軟件。卡巴斯基方面表示,這種惡意軟件只在俄羅斯被發現。
該網絡安全公司指出,代碼中發現的線索將攻擊源頭指向了俄羅斯的網絡罪犯。而且這樣的聊天工具漏洞並不是Telegram所獨有,上個月他們就已經在WhatsApp上發現了類似的漏洞。
卡巴斯基在去年10月已向Telegram報告了該安全漏洞,而且該問題似乎已得到解決。Telegram方面此次回應稱,這種攻擊是一種利用」社會工程學」來實施的網絡攻擊行為,只有在用戶被被誘騙下載圖像文件時才會發生,他們已於去年11月修復了該漏洞。
在Telegram Desktop上這不是一個真正的漏洞,除非你打開惡意文件,否則沒有人可以遠程控制你的計算機或Telegram軟件。
另有消息稱,Telegram計畫通過啟動有史以來規模最大的ICO來籌集近20億美元的資金。