Уязвимость в Telegram позволяет получить доступ к приватным чатам

Исследователь обнаружил в Telegram и Telegraph несколько серьезных уязвимостей.

Исследователь безопасности, известный на «Хабрахабр» как w9w, обнаружил в мессенджере Telegram ряд серьезных уязвимостей. По словам исследователя, защищенный мессенджер не такой защищенный, как принято считать. Так, мошенники могут использовать ссылки t.me для заманивания пользователей на фишинговые сайты, конфиденциальность приватных чатов оставляет желать лучшего, а публикации в сервисе Telegraph могут редактировать посторонние.

Как отметил исследователь, «на t.me присутствуют явные проблемы с запретом индексации конфиденциального контента». Коды Telegram-ботов появляются в результатах поиска поисковых систем из-за отсутствия в robots соответствующих запретов. Злоумышленник может воспользоваться этим для получения данных пользователей. Помимо электронных адресов, являющихся публичной информацией, таким образом хакер способен также получить доступ в приватные чаты и каналы.

Вторая обнаруженная исследователем уязвимость – Open Redirect. «Уязвимость позволяет сделать прямой редирект из t.me на любой фишинговый сайт, скачивание трояна, вредоносный js (например, js майнер или использование последнего 0-day в процессорах intel) и др.», - пишет исследователь. С ее помощью злоумышленник может отредактировать чужую статью в Telegraph, имея в своем распоряжении лишь номер страницы page_id.

Третьей уязвимостью оказалась межсайтовая подделка запросов (CSRF). Токен находится в исходнике статьи, например, статье telegra.ph/Durov-01-22 принадлежит id 7f0d501375c9e2acbd1ef.

Исследователь сообщил разработчикам Telegram о своих находках в рамках программы выплаты вознаграждения за обнаруженные уязвимости. За первую из них он получил €50, за Open Redirect – €100, а за CSRF в Telegraph – €1400.

затариваемся почтовыми голубями,почаны

Ну по первой совсем очевидно все, индексацию давно все обсуждали. Она и 50 евро не стоит

Есть и более защищенные мессенджеры, но они не такие удобные

Да дело не в том насколько эта ебала защищена, а в том, какие данные она от тебя хочет. Если клиент жабы ты можешь запустить на сервере в средиземье, а сервак хмпп поднять в Панаме и никакой инфы протоколу от тебя не нужно. То тут и номер будь добр указывать существующий и вся инфа хранится у них на серверах, да и при реге даже телега начинает ебать мозг. Да на вексе меньше от клиента требуют какой-либо инфы, чем в телеге. Совсем недавно понгадобилось сменить почту в акке векса без кейайси. Так ваще нихуя не запросили инфу обо мне, просто попросили доказать что именно мне акк принадлежит (доступа к почте у меня не было).