Энтузиасты обнаружили три серьезные уязвимости в экосистеме
Telegram. Одну из них удалось исправить, две — по-прежнему угрожают прежнему
представляют угрозу пользователям мессенджера, позиционирующего себя как
приложение с акцентом на безопасность.
Исследователь безопасности, известный под псевдонимом w9w,
рассказал об обнаруженных уязвимостях. В ходе исследования выяснилось, что
привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые
сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в
Telegraph, издательском сервисе, тесно интегрированном с Telegram, может
редактировать любой желающий, передает портал Zoom.
Проанализировав, HTTP-запрос, отправляемый на сервера
Telegraph, w9w пришел к выводу, что для редактирования абсолютно любой статьи
злоумышленнику необходимо знать только ее уникальный идентификатор, который
можно найти непосредственно в HTML-коде страницы с этой статьей.
Обнаружить одну из уязвимостей удалось в процессе
тестирования стороннего ресурса, взаимодействующего с доменом t.me, который
принадлежит Telegram и используется для создания коротких публичных ссылок на
учетные записи пользователей, каналы и группы в мессенджере.
Сайт предлагал платные советы по инвестициям в криптовалюты,
и в качестве одного из каналов получения подобной информации выступал
Telegram-бот. Решив проверить «чувствительные» данные в URL (едином указателе
ресурса в интернете) на факт индексации поисковыми системами, исследователь
обнаружил первую из трех уязвимостей в Telegram.
Проблема с секретностью
Сформировав так называемый «дорк» (Google Dork Query –
особый запрос к поисковой системе, позволяющий найти скрытую от посторонних
глаз публичную информацию), автор исследования обнаружил публично доступный
личный код случайного платного подписчика того самого ресурса о криптовалютах.
Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию
конфиденциальных данных.
Как отметил автор исследования, используя данную уязвимость
при помощи простого запроса вида site:t.me join, можно элементарно попасть в
закрытые частные группы Telegram, а сам факт наличия такого количества ссылок в
открытом доступе сводит концепцию приватных чатов на нет.
Продолжив анализ, автор выяснил, что существует возможность
выполнить перенаправление из t.me на любой, в том числе и мошеннический сайт,
троян, JS-скрипт (например, на распространенные в настоящее время майнеры
криптовалют), сформировав особую ссылку.
По итогам своего исследования автор неоднократно обращался к
разработчикам с сообщением о найденных уязвимостях. В результате не без труда
удалось доказать разработчикам существование описанных ошибок. Тем не менее, по
словам автора, на сегодняшний день исправлена лишь уязвимость с раскрытием
ссылок.
В рамках проекта Bugbounty Telegram готов выплатить
вознаграждение в размере 300 тысяч долларов человеку, преуспевшему в
расшифровке сообщений Telegram, а также суммы на усмотрение разработчиков за
нахождение уязвимостей в мессенджере.
