Aplikace Telegram obsahovala 13 bezpečnostních děr. Všechny už byly opraveny

Komunikační aplikace Telegram, ke které se mnoho uživatelů obrací jako k alternativě WhatsAppu, obsahovala třináct zranitelností. Pro firmu Shielder, zabývající se poradenstvím v oblasti IT, je odhalil uživatel, vystupující na internetu pod přezdívkou polict.

Objevitel neváhal a svá zjištění nahlásil vývojářům Telegramu. Ti všechny chyby poměrně rychle opravili, takže v tomto směru je dnes platforma bezpečná. Podstata spočívala v implementaci animovaných nálepek, jež v aplikaci přibyly v roce 2019.

Díry v Telegramu

„Na konci října roku 2019 jsem procházel kód aplikace Telegram pro Android, studoval jsem používané techniky a hledal potenciálně zajímavé funkce.“ popsal polict, co stálo na počátku jeho objevů. „Jen několik měsíců předtím Telegram představil animované nálepky; po přečtení příspěvku na blogu mě napadlo podívat se na to, jak vlastně fungují.“

Při zkoumání narazil na složku rlottie a začal zjišťovat, oč se jedná. Ukázalo se, že jde o nativní knihovnu Samsungu pro přehrávání animací Lottie, původně vytvořenou společností Airbnb. „Nevím jak u vás, ale kombinace Telegramu, Samsungu a animací okamžitě vyvolala můj zájem dozvědět se více.“ konstatuje objevitel.

Od ledna do srpna 2020 se ve volných chvílích věnoval podrobnému zkoumání formátu Lottie, jeho integraci do mobilních aplikací a zranitelnostem. Výsledek se dostavil – polict identifikoval celkem 13 bezpečnostních nedostatků, které se týkaly aplikací pro Android, iOS a macOS.

Už je opraveno

Uvedené chyby dovolovaly útočníkům zasílat obětem škodlivé nálepky. Přes ně pak bylo možné získat přístup k soukromým zprávám, fotkám a videím. Polict sice naznačuje, že případné zneužití bylo extrémně složité, to však v žádném případě neposkytuje záruku, že chybu nikdo nenašel a nevyužil.

Všechny problémy, které našel, objevitel zodpovědně ohlásil. Vývojáři Telegramu je opravili aktualizacemi vydanými v září a říjnu 2020. V zásadě tedy platí, že pokud jste aplikaci Telegram aktualizovali během posledních čtyř měsíců, pak se nemusíte zranitelností obávat.

Zahraniční weby, které o odhalení bezpečnostních nedostatků informují, se shodují v názoru, že u aplikace, která se pyšní vysokou úrovní zabezpečení, jsou takové informace velmi znepokojující. Jako možnou příčinu uvádějí překotný vývoj, motivovaný snahou o získání nových uživatelů.

Diskuze (1) Další článek: V roce 2020 se vyrobilo 333 milionů SSD. Mnohem více než pevných disků

Témata článku: Internet, Bezpečnost, Android, Komunikace, iOS, Samsung, Chat, Telegram, WhatsApp, Instant Messaging, Airbnb, Objevitel, Telegram pro Android, Zranitelnost, Nálepka, Uživatelé, Bezpečnostní díra, Díra, Aplikace


Určitě si přečtěte

Elon Musk podpořil Signal jako náhradu WhatsAppu. Aplikaci okamžitě zavalili uživatelé
Markéta Mikešová
WhatsAppElon MuskFacebook
Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Možná největší problém je nedostupnost, nejžádanější kusy jsou vyprodané

David Polesný | 36

David Polesný
VánoceNotebooky
Jak najít hranice území obcí a okresů, abyste věděli, kde se můžete pohybovat
Filip KůželJakub Čížek
KoronavirusMapy
Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

** Vývoj COVID-19 v Česku: nakažení, úmrtí, testovaní, hospitalizovaní ** Mapa podle okresů, přehled podle věku, situace v Evropě i ve světě ** Každý den aktualizované grafy a mapy

Marek Lutonský | 174

Marek Lutonský
COVID-19Koronavirus
Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

** Kde jsou ty doby, kdy měl skoro každý doma Photoshop ** Photoshop a Premiere Pro od kamaráda nebo z warezu ** Dnes už to nemá smysl, existuje totiž hromada laciných alternativ

Jakub Čížek | 92

Jakub Čížek
Grafický editorStřih videa
Finanční správa tento měsíc spustí Moje Daně. Přiznání má být hračka
Lukáš Václavík
eIdentitaČeskoeGovernment
Čestné prohlášení při cestě mimo okres může být i elektronické. Stačí k tomu mobil
Lukáš Václavík
COVID-19eGovernmentDoprava