Обнаружены опасные уязвимости в приложении Telegram
Энтузиасты обнаружили три серьезные уязвимости в экосистеме Telegram. Одну из них удалось исправить, две — по-прежнему угрожают прежнему представляют угрозу пользователям мессенджера, позиционирующего себя как приложение с акцентом на безопасность. Исследователь безопасности, известный под псевдонимом w9w, рассказал об обнаруженных уязвимостях. В ходе исследования выяснилось, что привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в Telegraph, издательском сервисе, тесно интегрированном с Telegram, может редактировать любой желающий, передает портал Zoom. Проанализировав, HTTP-запрос, отправляемый на сервера Telegraph, w9w пришел к выводу, что для редактирования абсолютно любой статьи злоумышленнику необходимо знать только ее уникальный идентификатор, который можно найти непосредственно в HTML-коде страницы с этой статьей. Обнаружить одну из уязвимостей удалось в процессе тестирования стороннего ресурса, взаимодействующего с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере. Сайт предлагал платные советы по инвестициям в криптовалюты, и в качестве одного из каналов получения подобной информации выступал Telegram-бот. Решив проверить «чувствительные» данные в URL (едином указателе ресурса в интернете) на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram. Проблема с секретностью Сформировав так называемый «дорк» (Google Dork Query – особый запрос к поисковой системе, позволяющий найти скрытую от посторонних глаз публичную информацию), автор исследования обнаружил публично доступный личный код случайного платного подписчика того самого ресурса о криптовалютах. Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию конфиденциальных данных. Как отметил автор исследования, используя данную уязвимость при помощи простого запроса вида site:t.me join, можно элементарно попасть в закрытые частные группы Telegram, а сам факт наличия такого количества ссылок в открытом доступе сводит концепцию приватных чатов на нет.ЕЩЕ ПО ТЕМЕ:«Доктор Веб» рассказал о революции в киберпреступности Продолжив анализ, автор выяснил, что существует возможность выполнить перенаправление из t.me на любой, в том числе и мошеннический сайт, троян, JS-скрипт (например, на распространенные в настоящее время майнеры криптовалют), сформировав особую ссылку. По итогам своего исследования автор неоднократно обращался к разработчикам с сообщением о найденных уязвимостях. В результате не без труда удалось доказать разработчикам существование описанных ошибок. Тем не менее, по словам автора, на сегодняшний день исправлена лишь уязвимость с раскрытием ссылок. В рамках проекта Bugbounty Telegram готов выплатить вознаграждение в размере 300 тысяч долларов человеку, преуспевшему в расшифровке сообщений Telegram, а также суммы на усмотрение разработчиков за нахождение уязвимостей в мессенджере.
- 7 Апр, 14:40
В Google Play обнаружили легитимные приложения со скрытыми...
Ряд приложений из Google Play добывает криптовалюты с телефонов пользователей без их ведома и отправляет деньги мошенникам. О находке говорится в заявлении на сайте компании. «PlacarTV удалили из магазина только после того, как специалисты „Лаборатор...
- 4 Апр, 18:20
Эксперты обнаружили в Google Play приложения со скрытыми...
Также функционал майнера нашли в некоторых VPN-сервисах. Например, приложение Vilny.net, до сих пор доступное в Google Play, скачивает вредоносный файл и запускает его в фоновом режиме. При этом сервис отслеживает температуру и уровень заряда смартфо...
- 22 Мар, 07:30
В аппаратных кошельках Ledger обнаружена новая уязвимость
Генеральный директор Ledger Эрик Ларчевек преуменьшил серьёзность уязвимости в своём комментарии на Reddit, а сама компания с момента обнаружения уязвимости выпустила обновление прошивки ( 1.4.1 ). Рашид призвал пользователей как можно скорее получит...
Cегодня
В мире за неделю
-
26 Ноя, 08:07+4 Статья "Необходимость регулирования криптовалют в финансовых отраслях "
-
25 Ноя, 13:14+7 Эксперт говорит, что Pepe превзойдет Dogecoin и Shiba Inu в этом цикле
-
25 Ноя, 12:08+5 Глава регулятора Южной Кореи отверг идею создания биткоин-резерва
-
21 Ноя, 13:08+4 Аналитик Bloomberg назвал лучшую дату для подачи заявки на Dogecoin ETF
-
18 Ноя, 12:10+4 BONK возглавил топ самых ценных мемкоинов на Solana