Чужие записи в Telegram может отредактировать любой желающий

30 март 2018 13:40 #67749 от ICT
Проблемы Telegram с безопасностью Исследователь безопасности, известный в ИТ-блоге Habrahabr под псевдонимом w9w, рассказал об обнаруженных им уязвимостях в мессенджере Telegram. В ходе исследования, проведенного автором, выяснилось, что привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в Telegraph, издательском сервисе, тесно интегрированном с Telegram, может редактировать любой желающий. Редактирование чужих сообщений Уязвимость затрагивает издательский сервис Telegraph, разработанный Павлом Дуровым и командой мессенджера Telegram в 2016 г. Проанализировав, HTTP-запрос, отправляемый на сервера Telegraph, автор пришел к выводу, что для редактирования абсолютно любой статьи злоумышленнику необходимо знать только ее уникальный идентификатор, который можно найти непосредственно в HTML-коде страницы с этой статьей. Как правило, защита от подобных атак сводится к сверке токена (случайного набора байт), сгенерированного сервером, с отправленным пользователем при переходе по ссылке или нажатии кнопки. В случае несовпадения серверного и клиентского токенов, сервер отказывает пользователю в выполнении запрошенной операции. По словам автора исследования, в случае с Telegraph данный подход, как и иные способы защиты, не применяется. Приватные чаты в опасности Обнаружить одну из уязвимостей удалось в процессе тестирования стороннего ресурса, взаимодействующего с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере. Сайт предлагал платные советы по инвестициям в криптовалюты, и в качестве одного из каналов получения подобной информации выступал Telegram-бот. Бота можно было подключить, перейдя по ссылке вида t.me/Another_bot?start=CODE, где CODE – секретная последовательность символов, связанная с учетной записью пользователя на сайте. Решив проверить «чувствительные» данные в URL (едином указателе ресурса в интернете) на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram.
Сформировав так называемый «дорк» (Google Dork Query – особый запрос к поисковой системе, позволяющий найти скрытую от посторонних глаз публичную информацию) следующего вида: site:t.me inurl:Another_bot?start=, автор исследования обнаружил публично доступный личный код случайного платного подписчика того самого ресурса о криптовалютах. Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию конфиденциальных данных. Причиной данного недоразумения автор называется отсутствие файла robots.txt в корневом каталоге ресурса, связанного с доменом t.me. Данный файл используется веб-мастерами для задания параметров индексирования сайта. К примеру, при помощи данного файла можно запретить поисковым роботам индексировать определенные разделы веб-ресурса, таким образом полностью исключив их появление в поисковой выдаче.
Вложенный файл:
Более 5 млн ссылок на чаты можно найти в Google, сформулировав правильный запрос Как отметил автор исследования, используя данную уязвимость при помощи простого запроса вида site:t.me join, можно элементарно попасть в закрытые частные группы Telegram, а сам факт наличия такого количества ссылок в открытом доступе сводит концепцию приватных чатов на нет. Open Redirect или как поймать вирус Продолжив анализ, автор выяснил, что существует возможность выполнить перенаправление из t.me на любой, в том числе и мошеннический сайт, троян, JS-скрипт (например, на распространенные в настоящее время майнеры криптовалют), сформировав особую ссылку. О Bugbounty и итогах По итогам своего исследования автор неоднократно обращался к разработчикам с сообщением о найденных уязвимостях. В результате не без труда удалось доказать разработчикам существование описанных ошибок. Тем не менее, по словам автора, на сегодняший день исправлена лишь уязвимость с раскрытием ссылок.
Вложенный файл:
Напомним, что в рамках проекта Bugbounty Telegram готов выплатить вознаграждение в размере $300 тыс. человеку, преуспевшему в расшифровке сообщений Telegram, а также суммы на усмотрение разработчиков за нахождение уязвимостей в мессенджере. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Переписку на заблокированном iPhone может прочитать любой желающий21.22Четверг, 22 марта 2018
    Местонахождение 200 млн абонентов сотовой связи может узнать любой желающий21Пятница, 18 мая 2018
    Приложения в RuStore сможет загружать любой желающий17.06Воскресенье, 18 сентября 2022
    Москва запустила в Telegram сервис записи ко врачу12.23Понедельник, 21 августа 2017
    Исследование: Почти любой промышленный робот может напасть на человека11.62Понедельник, 06 марта 2017
    В Оренбурге вышка связи может в любой момент рухнуть с крыши многоэтажки11.5Вторник, 13 апреля 2021
    Telegram может тайно читать сообщения пользователей. Видео9.18Пятница, 06 июля 2018
    Россиянин не может нагреть воду в бойлере из-за блокировки Telegram9.18Четверг, 17 января 2019
    Использование WhatsApp, Viber и Telegram может довести чиновников до увольнения9.09Пятница, 30 сентября 2016
    Борец с Telegram может стать куратором телекома в обновленном Минкомсвязи9.09Четверг, 19 июля 2018

    Мы в соц. сетях