Исследователь Mohamed A. Baset выявил брешь в web-форме, известного в настоящее время, Telegram. Оказалось, что web-форма не имеет защит от обычной clickjacking-атаки. Заместо текста в заголовке X_Frame_Options web-клиента Telegram применялся метод под названием “frame busting” (“вымещение фреймов”). Этот метод использовался для предотвращения появления нежелательных iframe на ресурсе. Исследователь, прибавив одно из распространённых свойств HTML 5, sandbox, к собственному iframe, с успехом произвёл атаку web-клиента, тем самым обошёл все защиты.

Также, Baset поведал о том, что в дополнении ко всему Telegram пользуется некой хитростью. Используя CSS, абсолютно всем tag’ам по умолчанию давалось значение -none-. Естественно, этот факт аннулировал все его попытки. Но исследователя это не смутило, ведь его цель была заблокировать доступ к файловому стилю, ответственному за гл.страницу web-формы. Чтобы заблокировать доступ к css/app.css, Baset рекомендует эксплуатацию атаку man_in_the_middle или какую-либо другую наподобие.

Всё то, что запланировал исследователь, в конечном итоге, ему удалось реализовать. Таким образом, получается что хакер получал полный доступ к персональным данным того или иного пользователя Telegram (pass, почту и др), а также доступ к изменению этой информации, включая возможность отправлять-получать-принимать сообщения и приглашения.

На данный момент, описанная Baset’ом брешь, была устранена.