[Информационная безопасность, Мессенджеры] За 2020 год исследователь обнаружил 13 уязвимостей в Telegram
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Специалист в области ИБ из Shielder поделился своими исследованиями, которые он проводил с января по август 2020 года, с общественностью.СутьВсе уязвимости (багхантер насчитал их 13) связаны с использованием вредоносных, анимированных наклеек (стикеров) в секретных чатах Telegram на Android, IOS, macOS устройствах. Уязвимости позволяли за секунды приводить к сбою приложение Telegram на стороне жертвы (ронять, как например когда-то символы телугу - "ломали" Whatsapp). Для успешной атаки жертве нужно было лишь открыть секретный чат и если в сообщениях была прислана анимированная, вредоносная наклейка, через непродолжительное время клиент Telegram падал, без намеков о случившемся, для обычного пользователя.Исследователь в своей работе посетовал на два момента:
- Отсутствие фильтра. Клиент Telegram на macOS мог принимать любые секретные чаты от неизвестных пользователей (следовательно, злоумышленник мог рассылать вредоносные стикеры любому пользователю техники Apple).
- Баги срабатывали только в секретных чатах Telegram. Как фильтровались/обрабатывались наклейки на стороне сервера (не приводящие к крашингу приложений в обычных чатах) исследователю докопаться не удалось по понятным причинам.
Со слов автора, все баги (после их репортов команде Telegram) были закрыты разработчиками мессенджера с осени 2020 года. Пришло время обновить свои клиенты Telegram, если пользователи давно этого не делали, - рекомендует специалист по ИБ.Прочитать подробности, первоисточник.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Программирование, .NET, C#, Разработка под Windows] Как следить (наблюдать) за компьютером. Часть 1 — делаем скриншоты пользователей
- [Мессенджеры, Open source, Системное администрирование, PHP, Программирование] Рефакторинг пет проекта: докеризация, метрики, тесты
- [Информационная безопасность, Законодательство в IT, Удалённая работа] ФСТЭК разработала требования безопасности к оборудованию для удаленной работы
- [Информационная безопасность, WordPress, Open source, Администрирование доменных имен] Новый плагин CrowdSec для защиты сайтов на WordPress
- [Информационная безопасность, Сетевые технологии, IT-компании] От локального ПО до всероссийских инсталляций: как изменился ИКС за 17 лет
- [Информационная безопасность, Исследования и прогнозы в IT, Социальные сети и сообщества] В рейтинге цифровой культуры компании Microsoft Россия оказалась на предпоследнем месте
- [Информационная безопасность, Профессиональная литература, Управление персоналом, Научно-популярное, Мозг] Верить ли глазам
- [Информационная безопасность, Браузеры, Microsoft Edge] Microsoft начала тестировать детский режим в Edge
- [Информационная безопасность, Управление продуктом] LastPass ограничит бесплатное использование менеджера паролей одним типом устройства
- [Информационная безопасность, Open source, Браузеры] Эффективный фингерпринтинг через кэш фавиконов в браузере
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_messendzhery (Мессенджеры), #_telegram, #_ujazvimost (уязвимость), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_messendzhery (
Мессенджеры
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:51
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Специалист в области ИБ из Shielder поделился своими исследованиями, которые он проводил с января по август 2020 года, с общественностью.СутьВсе уязвимости (багхантер насчитал их 13) связаны с использованием вредоносных, анимированных наклеек (стикеров) в секретных чатах Telegram на Android, IOS, macOS устройствах. Уязвимости позволяли за секунды приводить к сбою приложение Telegram на стороне жертвы (ронять, как например когда-то символы телугу - "ломали" Whatsapp). Для успешной атаки жертве нужно было лишь открыть секретный чат и если в сообщениях была прислана анимированная, вредоносная наклейка, через непродолжительное время клиент Telegram падал, без намеков о случившемся, для обычного пользователя.Исследователь в своей работе посетовал на два момента:
=========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_messendzhery ( Мессенджеры ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:51
Часовой пояс: UTC + 5