Дослідник безпеки, відомий користувачам Habrahabr під ніком w9w, повідомив про виявлення відразу декількох вразливостей в екосистемі Telegram.
Telegraph – джерело дірок
У процесі дослідження з’ясувалося, вразливість присутній на сервісі Telegraph, розробленому в 2016 році командою месенджера Telegram. Проаналізувавши структуру HTTP-запиту, відправленого з ПК користувача на сервер Telegraph, експерт прийшов до висновку, що для зміни будь-якої статті на порталі достатньо знати її ідентифікатор. За це отримати ідентифікатор можна з HTML-коду сторінки.
Для захисту від атак цього типу зазвичай використовується спеціальний маркер (випадковий набір байт, генерується сервером). У момент переходу по зовнішньому посиланню здійснюється порівняння токенів сервера і користувача. Якщо токени не збігаються, операція не виконується. На сервісі Telegraph такі механізми захисту не застосовуються.
Підключення платних ботів
Іншу вразливість вдалося виявити під час тестування стороннього ресурсу, який використовує домен t.me для створення коротких посилань. Нагадаємо, домен належить Telegram, використовується для формування коротких посилань на групи, канали і облікові записи користувачів. Досліджуваний сторонній ресурс пропонував користувачам поради щодо інвестицій у різні кріптовалюти (платні). Один з варіантів отримання таких рекомендацій – Telegram-бот.
Для підключення бота використовувалася посилання формату t.me/Another_bot?start=xxxx, де xxxx послідовність, пов’язана з аккаунтом на сайті.
Сформувавши запит Google Dork Query виду site:t.me inurl:Another_bot?start=, фахівець виявив публічно доступний персональний код платного передплатника на інтернет-ресурсі про криптовалютах.
Нагадаємо, запити Google Dork Query дозволяють знайти через пошукову систему публічні дані, приховані від сторонніх. Був зроблений висновок, що адміністратори домену t.me не забезпечили заборона на індексацію особистих даних – файл robots.txt відсутня.
Автор дослідження зазначив, що дана уразливість дозволяє отримати доступ до закритих груп за допомогою запитів формату site:t.join me.
Експерт зазначив, що неодноразово зв’язувався з розробниками популярного сервісу, доводячи існування вразливостей. У результаті компанія визнала проблему, однак на момент публікації виправлена тільки частина проблем.
Джерело: http://wnro.kiev.ua/
