В недавно раскрытом коде Telegram обнаружена очередная уязвимость

image

Теги: уязвимость, Дуров, вознаграждение, шифрование

Брешь в протоколе сервиса позволяет перехватывать геолокационные данные пользователя.

Как сообщают исследователи службы HackApp, им удалось обнаружить очередную уязвимость в мобильном приложении Telegram, код которого недавно был полностью раскрыт в целях повышения безопасности сервиса. Указанная брешь была выявлена в протоколе MTProto и, как сообщается, позволяет потенциальным злоумышленникам перехватывать геолокационные данные пользователя.

Напомним, что создатель Telegram Павел Дуров объявил награду за обнаружение бреши, позволяющей расшифровать трафик мобильного приложения. В целях повышения безопасности сервиса основатель ВКонтакте попытался привлечь внимание как можно большего количества экспертов суммой в $200 тысяч.

По данным HackApp, обнаруженная ими уязвимость возникла из-за невнимательности разработчиков. Она заключается в том, что несмотря на шифрование канала связи приложение обращается к Google Maps API и принимает от него геолокационные данные в виде открытого текста. Для перехвата этой информации достаточно было воспользоваться снифером Wireshark.

Интересно также, что ранее российский исследователь, скрывающийся под псевдонимом x7mz, обнаружил небезопасную модификацию в алгоритме обмена ключами Диффи-Хеллмана, который применяется в Telegram. Эксперт получил от Дурова словесную благодарность, а также поощрительное вознаграждение в $100 тысяч.

О выплате какого-либо вознаграждения представителям HackApp, а также о реакции Дурова на проведенную ими работу пока ничего неизвестно. В то же время, данная уязвимость уже была устранена разработчиками Telegram. 


или введите имя

CAPTCHA