Переворот в Tox. Чё за движ? Код красный?!

nightly · 10.03.2025

kidkdk сказал(а):

Мне этот Nym постоянно при запуске пытался установить какой-то хелпер (без него тоже работал), через несколько дней использования. Есть кто делал аудит? Интересно почитать, пока выглядит весьма специфически

Nym and NymVPN - Next-gen privacy with mixnet and VPN service

Hi everyone, I’m part of Nym Technologies team. We’re excited to introduce Nym, our mixnet, and NymVPN, our privacy-focused app, to this community. We’re eager to hear your thoughts and discuss the possibility of being featured as a recommended tool by Privacy Guides. 🌐 What’s Nym? Nym is a...

discuss.privacyguides.net

Юзать только в связке

MaFio · 11.03.2025

Блин, вот я не внимательный

, а ведь ты, nightly , и есть тот самый человек, который раскрутил уязвимость в Tox 1.17.6 / RCE и продал её за "баснасловные"

nightly сказал(а):

Цена: 20 ВТС

Я вовсе не совру, если напишу, что эту историю обсуждало всё ИБ-сообщество! А вот человека, стоящего за этой историей, оказывается, знают немногие.

Ну, что ж, ты здесь, тема подходящая , Техническое обсуждение RCE в Tox 1.17.6 , которое было ранее, не совсем задалось и было закрыто, а вопросы по Tox на сегодняшний день не только остались, но и значительно увеличились. Почему-то, почти все блогеры за ответами по этой уязвимости направились к Локбиту, а я думаю, они есть только у тебя.

Ответь на некоторые из них:

1. Как заявлялось в продажнике уязвимость в qTox 1.17.6 позволяет RCE через запрос на добавление в друзья. А какой конкретно компонент был уязвим:

протокол Tox,
реализация клиента qTox.

И например, это связано с парсингом DHT-запросов, обработкой пользовательских данных в профиле или чем-то ещё?

2. GIF-демонстрация показывала успешный запуск кода.
А какой вектор атаки использовался, например:

буферное переполнение,
некорректная десериализация,
может быть, это была уязвимость в Qt-фреймворке, на котором построен qTox?

3. Предполагая, что qTox работает на разных платформах (Windows, Linux, macOS), была ли уязвимость универсальной или специфичной только для одной ОС?
Как ты обошел специфические механизмы защиты ОС, как, допустим, ASLR или DEP?

4. Требуется ли дополнительный эксплойт взаимодействия с пользователем помимо принятия запроса на дружбу, или это полностью бесшовный процесс? Например, нужно ли жертве открыть какой-то раздел или кликнуть по чему-то еще дополнительно?

5. Как ты обнаружил эту уязвимость? Это был результат целенаправленного анализа исходного кода с гитхаб? А кто этот таинственный человек, которому ты отдал "50% за помощь". Некоторая общая, но растуманивающая информация. Сколько времени у вас ушло на разработку рабочего варианта после обнаружения бага?

6. Почему 20 BTC? Это отсылка к сложности эксплойта, его потенциальному ущербу или просто рыночная ставка для 0-day такого уровня?

7. Ты продал уязвимость в одни руки? Частному покупателю?
А как думаешь купили:

Lazarus,
госспецы (ФСБ?),
местные шкафы (Локбит, да?),
энтузиасты исследователи (с форума?)

9. Уязвимость, проданная в 2023 году, затрагивала qTox версии 1.17.6. Сохраняется ли она в этой версии на март 2025 года, учитывая отсутствие обновлений с 2022 года? Устойчивы ли к подобным атакам новые реализации протокола и клиента Tox (от команды TokTok) или "природа" Tox остаётся фундаментально уязвимой?

10. Какой мессенджер ты бы назвал оптимальным комплексным решением в 2025 году с точки зрения безопасности, анонимности и устойчивости к атакам? Например:

XMPP с OMEMO через Tor,
Matrix с Olm/Megolm ,
Tox на c-toxcore (дашь шанс?),
SimpleX с Kyber-1024.

Какой?

Лично мне интересен и важен этот диалог. Если хотите уточнить что-то ещё или задать другие вопросы, дополняйте.

nightly · 14.03.2025

MaFio сказал(а):

Блин, вот я не внимательный , а ведь ты, nightly , и есть тот самый человек, который раскрутил уязвимость в Tox 1.17.6 / RCE и продал её за "баснасловные"

Я вовсе не совру, если напишу, что эту историю обсуждало всё ИБ-сообщество! А вот человека, стоящего за этой историей, оказывается, знают немногие.

Посмотреть вложение 104963

Ну, что ж, ты здесь, тема подходящая , Техническое обсуждение RCE в Tox 1.17.6 , которое было ранее, не совсем задалось и было закрыто, а вопросы по Tox на сегодняшний день не только остались, но и значительно увеличились. Почему-то, почти все блогеры за ответами по этой уязвимости направились к Локбиту, а я думаю, они есть только у тебя.

Ответь на некоторые из них:

1. Как заявлялось в продажнике уязвимость в qTox 1.17.6 позволяет RCE через запрос на добавление в друзья. А какой конкретно компонент был уязвим:

протокол Tox,

реализация клиента qTox.

И например, это связано с парсингом DHT-запросов, обработкой пользовательских данных в профиле или чем-то ещё?

2. GIF-демонстрация показывала успешный запуск кода.
А какой вектор атаки использовался, например:

буферное переполнение,

некорректная десериализация,

может быть, это была уязвимость в Qt-фреймворке, на котором построен qTox?

3. Предполагая, что qTox работает на разных платформах (Windows, Linux, macOS), была ли уязвимость универсальной или специфичной только для одной ОС?
Как ты обошел специфические механизмы защиты ОС, как, допустим, ASLR или DEP?

4. Требуется ли дополнительный эксплойт взаимодействия с пользователем помимо принятия запроса на дружбу, или это полностью бесшовный процесс? Например, нужно ли жертве открыть какой-то раздел или кликнуть по чему-то еще дополнительно?

5. Как ты обнаружил эту уязвимость? Это был результат целенаправленного анализа исходного кода с гитхаб? А кто этот таинственный человек, которому ты отдал "50% за помощь". Некоторая общая, но растуманивающая информация. Сколько времени у вас ушло на разработку рабочего варианта после обнаружения бага?

6. Почему 20 BTC? Это отсылка к сложности эксплойта, его потенциальному ущербу или просто рыночная ставка для 0-day такого уровня?

7. Ты продал уязвимость в одни руки? Частному покупателю?
А как думаешь купили:

Lazarus,

госспецы (ФСБ?),

местные шкафы (Локбит, да?),

энтузиасты исследователи (с форума?)

9. Уязвимость, проданная в 2023 году, затрагивала qTox версии 1.17.6. Сохраняется ли она в этой версии на март 2025 года, учитывая отсутствие обновлений с 2022 года? Устойчивы ли к подобным атакам новые реализации протокола и клиента Tox (от команды TokTok) или "природа" Tox остаётся фундаментально уязвимой?

10. Какой мессенджер ты бы назвал оптимальным комплексным решением в 2025 году с точки зрения безопасности, анонимности и устойчивости к атакам? Например:

XMPP с OMEMO через Tor,

Matrix с Olm/Megolm ,

Tox на c-toxcore (дашь шанс?),

SimpleX с Kyber-1024.

Какой?

Лично мне интересен и важен этот диалог. Если хотите уточнить что-то ещё или задать другие вопросы, дополняйте.

Ничего не знаю, злые языки. В теме там просто была гифка с котиком ребят. Так совпало что после этого maintainers заархивили токс и их взяла ноунейм тима TokTok (s/ тук-тук в Вашу дверку /s).
Но я постараюсь подумать и ответить на твои вопросы, в теории.

1. Я думаю скорее реализация qTox и очень странный момент в ней. Почему странный? Возможно я просто нуб в С++ и не понимаю ничего, чисто моё мнение.
2. Думаю даже несколько причин. А возможно просто так упорно юзали Qt5 и ...
3. Рирарирум - Рирарарум

4. "Ничего делать не нужно, мы все сделаем за Вас"
5. Не думаю что кто-то хочет внимание
6. Как и с Трамп коином, на волне хайпа и за 40 могло уйти
7. One hand ownership only. Понятное дело что никто не спрашивает кто он, откуда. Но отсылки кто купил были (не от меня)
8. Не вижу ;(
9. Юзайте виртуалку ребята и не юзайте говно софты от ноунеймов.
10. Briar, SimpleX. c-toxcore + NoiseKI + audit (cure53, etc)

Не понятно почему именно тут, всегда есть ПМ. Я так сразу не могу. Не заходил на форум и вот тебе, 20 уведомлений...

MaFio · 31.03.2025

Ну раз я начал, мне и подытожить.

Жил-был Tox. Код на C, с багами, которые не фиксили годами, проблемы с добавлением нод, старый интерфейс qT. Но жил, был децентрализованным, опенсорсным, шкафы (некоторые) его задвигали в массы.

И вот, бац! В 2022 году проект замирает. Оригинальные разработчики (irungentoo и Ко) уходят в тень. Обновлений нет. Сообщество в недоумении: проект умер? Это связано с войной? Его просто убили трехбуквенные?

В сообществе экспертов начинается напряжение, однако школе плевать на все препятствия, у них перемены, и все повально начинают заюзывать tox. Это круто - говорят они, мы в токсе, как и шкафы.

И тут появляется nightly во всем белом. Помните этот анекдот, да? (В цирке, на середину арены выкатывают большой чан говна, в этот чан падает пресс, говно разлетается по всему куполу цирка, все и всё в говне: дети и взрослые с ног до головы. И тут выходит фокусник... Весь в белом).

0-дэй на qTox моментально продается здесь на форуме за 20 BTC (Поллимона долларов!). Топик о продаже провисел всего несколько часов. Пора сматериться. "Вот это", расклад.

Хоть и уклоняется коллега от прямых ответов на поставленные вопросы, ключевые моменты подтвержаются: серьезность уязвимости (zero-click RCE через запрос дружбы) и связь с клиентом qTox (самая последняя, рабочая). Но вот кому он это продал?

В целом уже на этом этапе можно было выкинуть Tox из своей системы. И больше не вспоминать о нем, но инерция - это физика, тут ничего личного, вылетевший после лобового столкновения через переднее стекло крутой, но маленький хацкер продолжает лететь в обнимку с Токсом дальше, на встречу новым приключениям на разных форумах.

К началу 2025 года выскакивает новая команда – TokTok. Они не просто форкают код, они захватывают и заменяют весь проект: перенаправляют официальный сайт tox.chat на свои репозитории, переписывают ядро (c-toxcore) с C на C++, выкидывают старый qTox и подсовывают свой форк под тем же именем (!), даже в F-Droid подменяют оригинал. И все это – без диалога с сообществом. Еще и старые терки с irungentoo из-за ста баксов всплывают прямо в Википедии. Мутная история, отдает запашком. ТукTук, а не TokTok, скорее всего они.

Федералы же видят, что шкафы и их новая армия, отрабатывающая доступы, повально сидят в Tox.

Будущее Tox: А есть ли оно после такого? Разбег

nightly · 01.04.2025

MaFio сказал(а):

Ну раз я начал, мне и подытожить.

Жил-был Tox. Код на C, с багами, которые не фиксили годами, проблемы с добавлением нод, старый интерфейс qT. Но жил, был децентрализованным, опенсорсным, шкафы (некоторые) его задвигали в массы.

И вот, бац! В 2022 году проект замирает. Оригинальные разработчики (irungentoo и Ко) уходят в тень. Обновлений нет. Сообщество в недоумении: проект умер? Это связано с войной? Его просто убили трехбуквенные?

В сообществе экспертов начинается напряжение, однако школе плевать на все препятствия, у них перемены, и все повально начинают заюзывать tox. Это круто - говорят они, мы в токсе, как и шкафы.

И тут появляется nightly во всем белом. Помните этот анекдот, да? (В цирке, на середину арены выкатывают большой чан говна, в этот чан падает пресс, говно разлетается по всему куполу цирка, все и всё в говне: дети и взрослые с ног до головы. И тут выходит фокусник... Весь в белом).

0-дэй на qTox моментально продается здесь на форуме за 20 BTC (Поллимона долларов!). Топик о продаже провисел всего несколько часов. Пора сматериться. "Вот это", расклад.

Хоть и уклоняется коллега от прямых ответов на поставленные вопросы, ключевые моменты подтвержаются: серьезность уязвимости (zero-click RCE через запрос дружбы) и связь с клиентом qTox (самая последняя, рабочая). Но вот кому он это продал?

В целом уже на этом этапе можно было выкинуть Tox из своей системы. И больше не вспоминать о нем, но инерция - это физика, тут ничего личного, вылетевший после лобового столкновения через переднее стекло крутой, но маленький хацкер продолжает лететь в обнимку с Токсом дальше, на встречу новым приключениям на разных форумах.

К началу 2025 года выскакивает новая команда – TokTok. Они не просто форкают код, они захватывают и заменяют весь проект: перенаправляют официальный сайт tox.chat на свои репозитории, переписывают ядро (c-toxcore) с C на C++, выкидывают старый qTox и подсовывают свой форк под тем же именем (!), даже в F-Droid подменяют оригинал. И все это – без диалога с сообществом. Еще и старые терки с irungentoo из-за ста баксов всплывают прямо в Википедии. Мутная история, отдает запашком. ТукTук, а не TokTok, скорее всего они.

Федералы же видят, что шкафы и их новая армия, отрабатывающая доступы, повально сидят в Tox.

Будущее Tox: А есть ли оно после такого? Разбег

Здравая мысль, но: "напииши в токс плиз и в жабу. или давай в матрикс". Я уже жду когда напишут в инстаграм)

MaFio · 10.05.2025

Прикольно, попалась на глаза старая статья об этом в Ленте Ру

lenta.ru

«Как теперь друзей принимать? Не пишите мне теперь в Tox, буду только со старыми друзьями дружить» - отреагировал на это представитель крупной киберпреступной группировки LockBit

(А издание держит руку на пульсе)

killxss · 20.05.2025

MaFio сказал(а):

а также всякие разные закулисные набросы на вентилятор, якобы, там уязвимость на 20 btc...

Уязвимости - это конечно плохо, но ты же в сухую им не пользуешься, лично у меня такая смазка(связка) win(+прокси) + whonix + kali(+прокси) , от винды через прокси идет трафик на хуникс, хуникс оборачивает трафик для кали в тор, кали обернутая в тор с прокси(прокси на кали, чтобы капча мозги не ебала)

uzu · 20.05.2025

killxss сказал(а):

Уязвимости - это конечно плохо, но ты же в сухую им не пользуешься, лично у меня такая смазка(связка) win(+прокси) + whonix + kali(+прокси) , от винды через прокси идет трафик на хуникс, хуникс оборачивает трафик для кали в тор, кали обернутая в тор с прокси(прокси на кали, чтобы капча мозги не ебала)

шапочки из фольги не хватает

OBNALLLC · 04.06.2025

я кста сегодня по запросу одного юзера с этого форума поставил себе токс, и что то даже не нашел функции поставить прокси с логином и паролем. просил у ии - грит нету в tox такой функции
о какой безопасности тут может идти речь?

как делают деньги владельцы tox?

HikMbed · 04.06.2025

OBNALLLC сказал(а):

я кста сегодня по запросу одного юзера с этого форума поставил себе токс, и что то даже не нашел функции поставить прокси с логином и паролем. просил у ии - грит нету в tox такой функции
о какой безопасности тут может идти речь?

как делают деньги владельцы tox?

Проксификаторы никто не отменял .

ch32co · 04.06.2025

OBNALLLC сказал(а):

как делают деньги владельцы tox?

Некорректная постановка вопроса для открытых некоммерческих проектов. Не всё в интернете делается для денег - это скажет любой, кто в свое удовольствие начинал писать пет-проект вечером выходного дня. Из таких проектов иногда вырастают гиганты, которые наслуху. А деньги могут появляться как донаты или лоббирование фич теми, кому они очень нужны (речь не о бэкдорах, а о открытой разработке сложной фичи, которая никому не горит, но проплаченные разработчики берутся за нее в угоду инвестора).

darkodesolo · 04.06.2025

Undergrowth сказал(а):

Токс максимально удобный даже сейчас, если общаться по делу и не отправлять тупые стикеры...

Мне он не очень нравится, но я и не ненавижу его, это просто один из моих инструментов.

blinkzk · 05.06.2025

nightly сказал(а):

UI at the level of 2015.

No one, because Telegram <3 Jabber, Tox. ~~Gay~~Hack Community)

And so it doesn't matter. I'm also in Tox, about 20 people have already written to me there who immediately send a file, calls. The main work is not there anyway.
Dedic+NymVPN+Tor. I can't imagine how to work otherwise.

I stole your image Love it.

qGodless · 09.06.2025

after a quick research i discovered that tox clients uses UDP to communicate directly once a connection is established. even if traffic is encrypted, peer IP:port is exposed to the connected friend.
so we can modify DHT.c (https://github.com/TokTok/toxcore/blob/master/toxcore/DHT.c) to log remote peer ip:port once used for hole punching or pinging

as in the example:

i haven't tested such thing, do you think its possible?

Переворот в Tox. Чё за движ? Код красный?!

nightly

root@usss-int:~#

Nym and NymVPN - Next-gen privacy with mixnet and VPN service

MaFio

(L2) cache

nightly

root@usss-int:~#

MaFio

(L2) cache

nightly

root@usss-int:~#

MaFio

(L2) cache

killxss

floppy-диск

uzu

Премиум

OBNALLLC

RAM

HikMbed

(L1) cache

ch32co

HDD-drive

darkodesolo

RAID-массив

blinkzk

HDD-drive

qGodless

(L2) cache