这款总部位于迪拜的应用程序总共发现了 13 个漏洞,并随后进行了修补。
IT 安全顾问 Shielder 进行的一项调查显示,已经透露Telegram 应用程序中存在数十个漏洞。 Telegram 于 2019 年推出了贴纸,最初对这一新功能源代码的研究变成了对十多个安全漏洞的为期八个月的调查。
这些缺陷使远程攻击者能够向其他用户发送恶意贴纸,以获得对私人消息、照片和视频的访问权限。一位名为“polict”的记者为 Shielder 撰写文章,详细介绍了如何仅在打开 Telegram 聊天时才会呈现贴纸,这样用户就可以通过忽略可疑消息来避开漏洞。
然而,如果用户确实打开了包含格式错误的贴纸的聊天,则该缺陷就会激活 - 并且每次打开该聊天时都会激活该缺陷。
“因为动画贴纸已下载到设备上”,警察说。 “这将无用的内存损坏(例如空指针取消引用)变成了令人烦恼的持续崩溃,这将阻止非技术受害者访问聊天中的先前消息”。
在 macOS、iOS 和 Android 上检测到漏洞电报应用程序,而且非常复杂。为了避开大多数设备中的安全防御,攻击者需要将漏洞与链中的另一个缺陷联系起来——这是一个挑剔的过程,但并不能阻止坚定的攻击者。
在调查过程中,神盾局发现13个漏洞包括:
- 1 堆越界写入
- 1 堆栈越界写入
- 1 堆栈越界读取
- 2 堆越界读取
- 1 整数溢出导致堆越界读取
- 2 类型混淆
- 5 个拒绝服务缺陷
幸运的是,这些威胁已经被报告。 polict 声称 Shielder 等了 90 天才向 Telegram 披露这些缺陷,以便用户可以更新他们的设备。
Telegram 本身也确认这些错误已得到解决,即通过于 2020 年 9 月 30 日和 10 月 2 日发布的一系列补丁来解决。macOS、iOS 和 Android 客户端都可以使用更新,只要 Telegram 用户在过去四个月内更新了应用程序,他们就不再需要担心恶意贴纸。
在 WhatsApp 不受欢迎的隐私政策更新之后,许多用户寻求替代通讯工具,继 WhatsApp 事件之后,又有 2500 万新用户注册了 Telegram。美国国会大厦骚乱。
在 2019 年开始这项研究之前,如果你问我第二年是否会在 Telegram 中发现单个内存损坏,我会非常怀疑。今天,我与大家分享了我如何发现 13 个问题的故事,其中一些问题的影响比其他问题更大,但所有问题都被 Telegram 及时修复了。
Telegram 可能已迅速采取行动修补暴露的漏洞,但它们的存在首先对该应用程序的声誉造成了打击 - 特别是因为它标榜自己是一个安全的应用程序WhatsApp 的替代品。
不过,Telegram 的秘密聊天功能对于大家来说并不陌生。隐私问题。上周有人发现,由于 macOS 应用程序中的一个错误,自毁音频和视频消息在过期后仍然可以访问。
该应用程序最近作为极右翼用户的温床而受到密切关注,这些用户因其加密和弱审核而被吸引到该服务。在 WhatsApp 不受欢迎的隐私政策更新之后,许多用户寻求替代通讯工具,在美国国会大厦骚乱事件发生后,又有 2500 万新用户注册了 Telegram。 Telegram 也成为那些被 Facebook、Twitter 和 Parler 等竞争对手服务驱逐的个人的安全港,尽管后者最近已恢复服务。