Aplikace Telegram obsahovala 13 bezpečnostních děr. Všechny už byly opraveny

Komunikační aplikace Telegram, ke které se mnoho uživatelů obrací jako k alternativě WhatsAppu, obsahovala třináct zranitelností. Pro firmu Shielder, zabývající se poradenstvím v oblasti IT, je odhalil uživatel, vystupující na internetu pod přezdívkou polict.

Objevitel neváhal a svá zjištění nahlásil vývojářům Telegramu. Ti všechny chyby poměrně rychle opravili, takže v tomto směru je dnes platforma bezpečná. Podstata spočívala v implementaci animovaných nálepek, jež v aplikaci přibyly v roce 2019.

Díry v Telegramu

„Na konci října roku 2019 jsem procházel kód aplikace Telegram pro Android, studoval jsem používané techniky a hledal potenciálně zajímavé funkce.“ popsal polict, co stálo na počátku jeho objevů. „Jen několik měsíců předtím Telegram představil animované nálepky; po přečtení příspěvku na blogu mě napadlo podívat se na to, jak vlastně fungují.“

Při zkoumání narazil na složku rlottie a začal zjišťovat, oč se jedná. Ukázalo se, že jde o nativní knihovnu Samsungu pro přehrávání animací Lottie, původně vytvořenou společností Airbnb. „Nevím jak u vás, ale kombinace Telegramu, Samsungu a animací okamžitě vyvolala můj zájem dozvědět se více.“ konstatuje objevitel.

Od ledna do srpna 2020 se ve volných chvílích věnoval podrobnému zkoumání formátu Lottie, jeho integraci do mobilních aplikací a zranitelnostem. Výsledek se dostavil – polict identifikoval celkem 13 bezpečnostních nedostatků, které se týkaly aplikací pro Android, iOS a macOS.

Už je opraveno

Uvedené chyby dovolovaly útočníkům zasílat obětem škodlivé nálepky. Přes ně pak bylo možné získat přístup k soukromým zprávám, fotkám a videím. Polict sice naznačuje, že případné zneužití bylo extrémně složité, to však v žádném případě neposkytuje záruku, že chybu nikdo nenašel a nevyužil.

Všechny problémy, které našel, objevitel zodpovědně ohlásil. Vývojáři Telegramu je opravili aktualizacemi vydanými v září a říjnu 2020. V zásadě tedy platí, že pokud jste aplikaci Telegram aktualizovali během posledních čtyř měsíců, pak se nemusíte zranitelností obávat.

Zahraniční weby, které o odhalení bezpečnostních nedostatků informují, se shodují v názoru, že u aplikace, která se pyšní vysokou úrovní zabezpečení, jsou takové informace velmi znepokojující. Jako možnou příčinu uvádějí překotný vývoj, motivovaný snahou o získání nových uživatelů.

Diskuze (1) Další článek: V roce 2020 se vyrobilo 333 milionů SSD. Mnohem více než pevných disků

Témata článku: Internet, Bezpečnost, Android, Komunikace, Telegram, iOS, Chat, Samsung, WhatsApp, Instant Messaging, Airbnb, Bezpečnostní díra, Nálepka, Telegram pro Android, Zranitelnost, Objevitel, Díra, Uživatelé, Aplikace


Určitě si přečtěte

Můžete mít dvakrát rychlejší VDSL? Mapa Cetinu ukazuje, kde je dostupný bonding
Lukáš Václavík
CETINPřipojení k internetu
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 47

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 48

Jakub Čížek
TranzistoryProcesoryTechnologie
Dalším gigabitovým hráčem bude ČEZ. Internet již poskytuje prvním zákazníkům
Lukáš Václavík
Poskytovatelé internetuPřipojení k internetu
Bankovní identita bude jednotná. K České spořitelně, ČSOB a KB se připojí menší banky
Lukáš Václavík
Portál občanaBankaeGovernment
Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

** Uspořádání kabelů můžete vnímat i jako podivný druh umění ** To nejkrásnější se skrývá v datacentrech a serverovnách ** Podívejte se na skutečné „cableporn“ z optiky i kroucené dvojlinky

Vojtěch Malý | 53

Vojtěch Malý
DatacentraServery
Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 94

David Polesný
Jak vybrat notebookNotebooky

Aktuální číslo časopisu Computer

Megatest rychlých Wi-Fi 6 routerů

Jak ztišit počítač

Velký test mATX skříní