這款總部位於迪拜的應用程序總共發現了 13 個漏洞,並隨後進行了修補。
IT 安全顧問 Shielder 進行的一項調查顯示,已經透露Telegram 應用程序中存在數十個漏洞。 Telegram 於 2019 年推出了貼紙,最初對這一新功能源代碼的研究變成了對十多個安全漏洞的為期八個月的調查。
這些缺陷使遠程攻擊者能夠向其他用戶發送惡意貼紙,以獲得對私人消息、照片和視頻的訪問權限。一位名為“polict”的記者為 Shielder 撰寫文章,詳細介紹瞭如何僅在打開 Telegram 聊天時才會呈現貼紙,這樣用戶就可以通過忽略可疑消息來避開漏洞。
然而,如果用戶確實打開了包含格式錯誤的貼紙的聊天,則該缺陷就會激活 - 並且每次打開該聊天時都會激活該缺陷。
“因為動畫貼紙已下載到設備上”,警察說。 “這將無用的內存損壞(例如空指針取消引用)變成了令人煩惱的持續崩潰,這將阻止非技術受害者訪問聊天中的先前消息”。
在 macOS、iOS 和 Android 上檢測到漏洞電報應用程序,而且非常複雜。為了避開大多數設備中的安全防禦,攻擊者需要將漏洞與鏈中的另一個缺陷聯繫起來——這是一個挑剔的過程,但並不能阻止堅定的攻擊者。
在調查過程中,神盾局發現13個漏洞包括:
- 1 堆越界寫入
- 1 堆棧越界寫入
- 1 堆棧越界讀取
- 2 堆越界讀取
- 1 整數溢出導致堆越界讀取
- 2 類型混淆
- 5 個拒絕服務缺陷
幸運的是,這些威脅已經被報告。 polict 聲稱 Shielder 等了 90 天才向 Telegram 披露這些缺陷,以便用戶可以更新他們的設備。
Telegram 本身也確認這些錯誤已得到解決,即通過於 2020 年 9 月 30 日和 10 月 2 日發布的一系列補丁來解決。 macOS、iOS 和 Android 客戶端都可以使用更新,只要 Telegram 用戶在過去四個月內更新了應用程序,他們就不再需要擔心惡意貼紙。
在 WhatsApp 不受歡迎的隱私政策更新之後,許多用戶尋求替代的通訊工具,繼 WhatsApp 事件之後,又有 2500 萬新用戶註冊了 Telegram。美國國會大廈騷亂。
在 2019 年開始這項研究之前,如果你問我第二年是否會在 Telegram 中發現單個內存損壞,我會非常懷疑。今天,我與大家分享了我如何發現 13 個問題的故事,其中一些問題的影響比其他問題更大,但所有問題都被 Telegram 及時修復了。
Telegram 可能已迅速採取行動修補暴露的漏洞,但它們的存在首先對該應用程序的聲譽造成了打擊 - 特別是因為它標榜自己是一個安全的應用程序WhatsApp 的替代品。
不過,Telegram 的秘密聊天功能對於大家來說並不陌生。隱私問題。上周有人發現,由於 macOS 應用程序中的一個錯誤,自毀音頻和視頻消息在過期後仍然可以訪問。
該應用程序最近作為極右翼用戶的溫床而受到密切關注,這些用戶因其加密和弱審核而被吸引到該服務。在 WhatsApp 不受歡迎的隱私政策更新之後,許多用戶尋求替代通訊工具,在美國國會大廈騷亂事件發生後,又有 2500 萬新用戶註冊了 Telegram。 Telegram 也成為那些被 Facebook、Twitter 和 Parler 等競爭對手服務驅逐的個人的安全港,儘管後者最近已恢復服務。