Анимированные стикеры Telegram могут открывать злоумышленникам доступ к секретным чатам пользователей. О выявлении соответствующей уязвимости сообщили специалисты занимающейся вопросами кибербезопасности фирмы Shielder (Италия).
Баг удалось выявить благодаря любопытству одного из сотрудников вышеупомянутой организации. Эксперта заинтересовала (цитата) «комбинация Telegram и библиотеки Samsung для воспроизведения анимации Lottie, к созданию которой приложили руку специалисты Airbnb».
Проведя исследование всего перечисленного, эксперт обнаружил уязвимость, позволяющую злоумышленникам через рассылаемые в мессенджере стикеры получать доступ к содержимому секретных чатов абонентов (переписке, фото, видео и т.д.)
Проблема оказалась актуальной для иОС-, андроид- и макОС-версий Telegram, отмечается в публикации.
После этого специалисты компании Shielder сообщили о своих подозрениях руководству Telegram-а. Администрация мессенджера весьма оперативно отреагировала на предупреждение, результатом чего стало устранение угрозы в следующих версиях обновления:
- Telegram Android v7.1.0 (2090) от 30 сентября 2020 г;
- Telegram iOS v7.1 от 30 сентября 2020 г;
- Telegram macOS v7.1 от 02 октября 2020 г.
Эти и последующие версии мессенджера безопасны для пользователей. Абонентам, имеющим более старые версии Telegram, рекомендуется срочно обновить гаджеты во избежание утечки приватной информации.
Ознакомиться с полным отчетом компании Shielder можно по ссылке https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface (язык документа – английский).
Ранее стало известно о появлении в Telegram-е «умного» бота, который способен подменять номера телефонов и общаться с жертвой любым голосом.
О других уязвимостях Telegram-а можно почитать здесь.
