Иранские хакеры нашли баг в Telegram, который может привести к сбою работы приложения — HackZona.Ru

Два иранских исследователя безопасности Sadegh Ahmadzadegan и Omid Ghaffarinia обнаружили баг в приложении Telegram, который позволил им обойти минимальный и максимальный размер сообщения в приложении и даже отправить пустое или, наоборот, слишком бо

Иранские хакеры нашли баг в Telegram, который может привести к сбою работы приложения

Два иранских исследователя безопасности Sadegh Ahmadzadegan и Omid Ghaffarinia обнаружили баг в приложении Telegram, который позволил им обойти минимальный и максимальный размер сообщения в приложении и даже отправить пустое или, наоборот, слишком большое текстовое сообщение.

Исследователи сообщают, что они не могут сообщить о проблеме в Telegram поскольку они не могут найти контакты разработчиков приложения. По сути, они не обнаружили какие-либо технические детали, используя которые злоумышленники могли бы во вред использовать этот недостаток.

Ahmadzadegan и Ghaffarinia рассказали, что суть найденного бага заключается в ограничении размера сообщений в Telegram. По умолчанию, минимальная длина сообщения в приложении составляет 1 байт (символ), максимальная — 4096 байт. Оказалось, что оба этих ограничения можно обойти, отправляя пустые сообщения или, наоборот, сообщения слишком большого размера. Первые могут лишь тревожить пользователей ложными уведомлениями, вторые — могут привести к краху самого приложения, а также добавить дополнительные расходы его владельцу, в случае использования мобильной сети (трафик). В качестве доказательства последнего, хакеры записали видео, на котором, в том числе, показали как простая отправка очень большого текстового сообщения за несколько минут можно «съесть» 256Мб трафика: sadghaf.com/files/telegram.mp4

Баг может быть опасен тем, что приложение Telegram позволяет пользователям отправлять сообщения любому другому пользователю приложения, а не только тем, кто являются друзьями. Злоумышленники, используя анонимные телефонные номера, могут автоматизировать процесс отправки, тем самым вызвать некую ddos-атаку на телефон или, чисто в рамках неудобства, заставить вас потратить огромные суммы на опалту мобильного интернета.



Нравится
Не нравится
00:26

Комментарии

Нет комментариев. Ваш будет первым!