Telegram исправил уязвимость, позволявшую взламывать учетные записи через голосовую почту

В мессенджере Telegram исправлена уязвимость, позволявшая взламывать чужие учетные записи через голосовую почту. С помощью этой уязвимости злоумышленники в течение нескольких последних месяцев взломали более тысячи учетных записей бразильских пользователей.

Взлом базировался на добавлении учетной записи Telegram на новое устройство. Для того чтобы добавить аккаунт, пользователь может запросить одноразовый код в виде голосового сообщения, которое будет отправлено на его телефонный номер. Если владелец номера три раза подряд пропускает голосовое сообщение или занят телефонным разговором, одноразовый код отправляется на автоответчик, предоставляемый оператором связи.

С помощью VoIP-сервисов злоумышленники осуществляли спуфинг телефонного номера жертвы, используя пароль по умолчанию (0000 или 1234), который пользователи меняют редко, получали доступ к голосовой почте и запрашивали одноразовый код. С помощью этого кода злоумышленники затем привязывали учетную запись жертвы к своему устройству.

На прошлых выходных Telegram выпустил исправление, блокирующее киберпреступникам возможность пользоваться вышеописанным методом. Отныне запросить одноразовый код в голосовом сообщении могут только владельцы учетных записей, защищенных двухфакторной аутентификацией. Исправление доступно для пользователей по всему миру, а не только для бразильцев.