Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).
Так как API доступно всем желающим, то, помимо официальных версий на яблоки и роботов, существует ряд сторонних клиентов. В данном случае я исследовал полуофициальный webogram — веб версия телеграма основанная на JavaScript. Почему полуофициальный? Потому, что несмотря на неофициальный статус, пишет его сотрудник ВК Игорь Жуков, которому позже я и написал об уязвимости, благо и к telegram он отношение имеет.
Итак, когда мы открываем беседу, перед нами предстаёт url вот такого вида:
Что первым делом приходит в голову? Правильно! Меняем непонятные циферки на другие и тут случается чудо:
Да, именно так, невероятно, мы видим название чужой беседы. И это в «самом защищённом» мессенджере!
Что ж, ещё поиграв с циферками мы можем познакомиться с культурами далёких стран:
И чуть менее далёких:
Этого было вполне достаточно, чтобы понять, что проблема есть. Я тут же написал репорт.
Ответ пришел всего через минуты три:
Чинили, на удивление, всего десять минут:
Безопасность это замечательно. И, разумеется, разработчикам telegram я тоже желаю всего наилучшего. Но, как мы видим, сейчас ещё не существует безопасных и проверенных временем подобных решений. Trust no one.
Автор: Bakuutin