Информационный портал
 ПОЛИТИКА И ОБЩЕСТВО
 ЭКОНОМИКА

    ВСЕ НОВОСТИ    |    ПОЛИТИКА И ОБЩЕСТВО    |    ЭКОНОМИКА    |    HI-TECH    |    E-BUSINESS    |    ПРОИСШЕСТВИЯ    |    НОВОСИБИРСК    |    ШОУ-БИЗНЕС
Новости / Hi-Tech / Обнаружены опасные уязвимости в приложении Telegram
 

Обнаружены опасные уязвимости в приложении Telegram

Фото: © Владимир Сараев, Sibnet.ru

Обнаружены опасные уязвимости в приложении Telegram

Энтузиасты обнаружили три серьезные уязвимости в экосистеме Telegram. Одну из них удалось исправить, две — по-прежнему угрожают прежнему представляют угрозу пользователям мессенджера, позиционирующего себя как приложение с акцентом на безопасность.

Исследователь безопасности, известный под псевдонимом w9w, рассказал об обнаруженных уязвимостях. В ходе исследования выяснилось, что привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в Telegraph, издательском сервисе, тесно интегрированном с Telegram, может редактировать любой желающий, передает портал Zoom.

Проанализировав, HTTP-запрос, отправляемый на сервера Telegraph, w9w пришел к выводу, что для редактирования абсолютно любой статьи злоумышленнику необходимо знать только ее уникальный идентификатор, который можно найти непосредственно в HTML-коде страницы с этой статьей.

Обнаружить одну из уязвимостей удалось в процессе тестирования стороннего ресурса, взаимодействующего с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере.

Сайт предлагал платные советы по инвестициям в криптовалюты, и в качестве одного из каналов получения подобной информации выступал Telegram-бот. Решив проверить «чувствительные» данные в URL (едином указателе ресурса в интернете) на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram.

Проблема с секретностью

Сформировав так называемый «дорк» (Google Dork Query – особый запрос к поисковой системе, позволяющий найти скрытую от посторонних глаз публичную информацию), автор исследования обнаружил публично доступный личный код случайного платного подписчика того самого ресурса о криптовалютах. Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию конфиденциальных данных.

Как отметил автор исследования, используя данную уязвимость при помощи простого запроса вида site:t.me join, можно элементарно попасть в закрытые частные группы Telegram, а сам факт наличия такого количества ссылок в открытом доступе сводит концепцию приватных чатов на нет.

Продолжив анализ, автор выяснил, что существует возможность выполнить перенаправление из t.me на любой, в том числе и мошеннический сайт, троян, JS-скрипт (например, на распространенные в настоящее время майнеры криптовалют), сформировав особую ссылку.

По итогам своего исследования автор неоднократно обращался к разработчикам с сообщением о найденных уязвимостях. В результате не без труда удалось доказать разработчикам существование описанных ошибок. Тем не менее, по словам автора, на сегодняшний день исправлена лишь уязвимость с раскрытием ссылок.

В рамках проекта Bugbounty Telegram готов выплатить вознаграждение в размере 300 тысяч долларов человеку, преуспевшему в расшифровке сообщений Telegram, а также суммы на усмотрение разработчиков за нахождение уязвимостей в мессенджере.

Дата: 01.04.2018, 21:52, Источник: info.sibnet.ru, Просмотров: 403

Схожие новости по теме:

Обнаружена неожиданная польза пессимизма
Обнаружена неожиданная польза мастурбации
Обнаружена новая угроза для устройств на базе Android
Российский «корабль-шпион» обнаружен у побережья США
Обнаружен самый приятный способ для похудения
Обнаружен отправитель посылки с навозом Минфину США
Следы инопланетян обнаружены в Антарктиде
Обнаружена неожиданная польза лечебного голодания
Обнаружены сигналы с исчезнувшей аргентинской подлодки
Обнаружена нарушающая законы физики звезда-«зомби»
Обнаружен ворующий биткоины вирус
Обнаружено действенное средство для похудения
Мать обнаруженного в пакете младенца нашли в Бийске
Обнаружены доказательства причастности Киева к гибели MH17
Обнаружен уникальный двойной астероид
Обнаружен за секунды взламывающий смартфоны вирус
Видео: Обнаружен затонувший во время цунами древний город
Океаны с жидкой водой обнаружены на семи экзопланетах






РЕСУРСЫ РАЗДЕЛА

2024, SWEET211.RU | Сделано с любовью
Автор: Maksim Semeykin

Дизайн: Master Daemon
Web Builder Engine v.2.78c, 2004-2024

Страница создана за 0,0273 секунд
Версия сайта 3.4.4
Версия админовки 1.6.2f
SQL запросов: 5 Время: 0,02734375 сек.

Сейчас: 19.03.2024, 9:36
Участник рейтинга sweet211.ru

синонимайзер текста онлайн Прошивка магнитолы Geely Atlas Прошивка магнитолы Geely Coolray Прошивка магнитолы Geely Atlas Pro Прошивка магнитолы Geely Tugella