Экспертами Angara SOC в мессенджере Telegram обнаружена уязвимость, позволяющая злоумышленникам получить доступ к аккаунту, эксплуатируя ошибку при работе с API

API (интерфейс прикладного программирования) в Telegram – это программный интерфейс, который позволяет разработчикам взаимодействовать с мессенджером и создавать сторонние приложения, ботов и сервисы. Telegram предоставляет два ключевых типа API:

Telegram Bot API – используется для создания и управления ботами.

Telegram API (MTProto) – предназначено для создания альтернативных клиентов и автоматизации работы с аккаунтами.

API неразрывно связан с номером телефона пользователя, так как Telegram использует MTProto-протокол, который требует аутентификации через SMS или сессионный ключ.

Если злоумышленники получают хеш API и идентификатор API, они смогут подключиться к имени аккаунта пользователя, управлять его сообщениями и выполнять действия от него.

Эксплуатируя данную уязвимость, мошенники могут приобрести номер, заранее создать API и привязать их к номеру телефона. После чего отказаться от номера и подождать, когда он вернется в продажу. Соответственно, пользователь, регистрирующий новый аккаунт, рискует лишиться к нему доступа.

Telegram пока не закрыл эту уязвимость, и функции удаления API-значений нет.

Источник: vk.com

Комментарии: