Новый баг в Telegram’e

в 22:53, , рубрики: application, bugs, telegram, геолокация, информационная безопасность, метки: , , ,

После ознакомление с постом и другим постом.
Захотелось узнать о Телеграме побольше.
Машинально вбивая хэштег Телеграма в Twitter, наткнулся на блог одной ИБ компании…
Новый баг в Telegrame

Как НЕ следует разрабатывать Ваше приложение.

Несколько дней назад Павел Дуров объявил кампанию по исправлению багов, для протокола расшифровки Телеграмма. Дальше будет показано, как личные данные из секретного чата могут быть захвачены без каких-либо методов расшифрования из-за «отказа дизайна».

Инструменты для теста

Android 4.3 in Virtual Box
Wireshark запущенный на локальной машине.
HTC One with Android 4.0.3
Telegram 1.3.800 (in virtual box)

Методика

Для начала давайте установим Telegram, а пользователей, к примеру, назовем Алиса и Боб. После этого, создаем аккаунты в Telegram и добавляем друг друга в друзья:
Новый баг в Telegrame

Теперь создаем секретный чат:

Новый баг в Telegrame

Отправляем тестовое сообщение:

Новый баг в Telegrame

Как мы можем видеть в Wireshark, все данные проходят через SSL и выглядят зашифрованными.

Но...

Но что, если мы постараемся отправить какое-нибудь вложение? К примеру, геолокацию?

Новый баг в Telegrame

Новый баг в Telegrame

Ага! Открыта незашифрованная TCP-сессия. Давайте взглянем поближе:

Новый баг в Telegrame

По умолчанию для загрузки фрагмента карты, Telegram использует Google-Maps API в незашифрованном виде.
С точки зрения безопасности и анонимности это полный провал…
Человек, который контролирует канал, может перехватывать все геолокационные вложения, обходя секретный чат с двух сторон.

На практике, если Сноуден отправит кому-нибудь, кто находится под прослушкой АНБ, свое географическое положение через Телеграм… томагавка будет достаточно, чтобы удовлетворить Генерала Александра.

Bug fix.

СБ относительно быстро отреагировала на этот инцидент и попросила отписаться им на почту за вознаграждением.

Если я не ошибаюсь, то фикс выглядит так.

Любопытно, сколько же заплатят авторам за найденный баг.

Автор: me3k

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js