Podľa portálu The Latest Hacking News išlo o staršiu zraniteľnosť, ktorá umožňovala špehovať používateľov cez nálepky v Telegrame. Konkrétne sa to týkalo animovaných nálepiek. Telegram už zraniteľnosť opravil.
Telegram obsahoval zraniteľnosť, ktorá dokázala odhaliť správy
Prišla na to talianska bezpečnostná firma Shielder a zverejnila aj zopár detailov toho, ako zraniteľnosť fungovala. Po tom, čo Telegram predstavil svoje animované nálepky, sa jeden z ich vedcov pozrel na kód tejto funkcie a objavil tam až 13 potenciálnych zraniteľností, ktoré mohli preraziť zabezpečenie konverzácií.
Chyby pochádzali z formátu, v ktorom boli nálepky uložené. Ide o .TGS, ktorý je postavený na knižnici Lottie. Telegram sa pre tento formát rozhodol pre to, aby nálepkám zmenšil veľkosť, ale neznížil ich kvalitu. Všetkých 13 chýb pochádzalo práve zo zdrojového kódu Lottie. To umožnilo útočníkovi získať prístup do súkromných chatov len pomocou animovanej nálepky.
Napriek svojej závažnosti, takáto zraniteľnosť bola náročná na zneužitie:
“Našťastie, animované nálepky sa zobrazia len po otvorení konverzácie, čo znižuje šancu útočníka na získanie prístupu k účtu obete. Po otvorení konverzácie sa nálepka stiahne a objaví sa aj pád aplikácie a nemožnosť načítať staršie správy pre obeť. Toto môže byť varovným signálom, že s vašou aplikáciou Telegram je niečo zle,” spomína na svojom blogu firma Shielder.
Telegram chybu opravil
Shielder opisuje, že podobné správanie sledovali v období od januára do augusta 2020. Následne Telegram vydal aktualizáciu v7.1.0 v októbri 2020 pre všetky platformy, ktorá túto chybu opravila.
Odvtedy Telegram vydal ešte niekoľko aktualizácií, takže ak aspoň raz za mesiac aktualizujete svoje aplikácie, mali by ste byť v bezpečí. Tu sa ukazuje aj dôležitosť aktualizácií, ktoré by ste nemali podceňovať. Najlepšie je aktualizovať aplikácie automaticky, pri pripojení na Wi-Fi. Ak si chcete overiť nastavenie aktualizácií, choďte do nastavení Obchodu Play a tam nájdite možnosť Aktualizácie aplikácií.
