Откровенность API Telegram

в 12:13, , рубрики: api, mtproto, telegram, баги, большой брат следит за тобой, информационная безопасность, метки: , , , ,

Open!
Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).

Так как API доступно всем желающим, то, помимо официальных версий на яблоки и роботов, существует ряд сторонних клиентов. В данном случае я исследовал полуофициальный webogram — веб версия телеграма основанная на JavaScript. Почему полуофициальный? Потому, что несмотря на неофициальный статус, пишет его сотрудник ВК Игорь Жуков, которому позже я и написал об уязвимости, благо и к telegram он отношение имеет.

Итак, когда мы открываем беседу, перед нами предстаёт url вот такого вида:
Откровенность API Telegram

Что первым делом приходит в голову? Правильно! Меняем непонятные циферки на другие и тут случается чудо:
Откровенность API Telegram

Да, именно так, невероятно, мы видим название чужой беседы. И это в «самом защищённом» мессенджере!
Что ж, ещё поиграв с циферками мы можем познакомиться с культурами далёких стран:
Откровенность API Telegram

И чуть менее далёких:
Откровенность API Telegram

Этого было вполне достаточно, чтобы понять, что проблема есть. Я тут же написал репорт.
Ответ пришел всего через минуты три:
Откровенность API Telegram

Чинили, на удивление, всего десять минут:
Откровенность API Telegram

Безопасность это замечательно. И, разумеется, разработчикам telegram я тоже желаю всего наилучшего. Но, как мы видим, сейчас ещё не существует безопасных и проверенных временем подобных решений. Trust no one.

Автор: Bakuutin

Источник

Поделиться

* - обязательные к заполнению поля