Komunikační aplikace Telegram, ke které se mnoho uživatelů obrací jako k alternativě WhatsAppu, obsahovala třináct zranitelností. Pro firmu Shielder, zabývající se poradenstvím v oblasti IT, je odhalil uživatel, vystupující na internetu pod přezdívkou polict.
Objevitel neváhal a svá zjištění nahlásil vývojářům Telegramu. Ti všechny chyby poměrně rychle opravili, takže v tomto směru je dnes platforma bezpečná. Podstata spočívala v implementaci animovaných nálepek, jež v aplikaci přibyly v roce 2019.
Díry v Telegramu
„Na konci října roku 2019 jsem procházel kód aplikace Telegram pro Android, studoval jsem používané techniky a hledal potenciálně zajímavé funkce.“ popsal polict, co stálo na počátku jeho objevů. „Jen několik měsíců předtím Telegram představil animované nálepky; po přečtení příspěvku na blogu mě napadlo podívat se na to, jak vlastně fungují.“
Při zkoumání narazil na složku rlottie a začal zjišťovat, oč se jedná. Ukázalo se, že jde o nativní knihovnu Samsungu pro přehrávání animací Lottie, původně vytvořenou společností Airbnb. „Nevím jak u vás, ale kombinace Telegramu, Samsungu a animací okamžitě vyvolala můj zájem dozvědět se více.“ konstatuje objevitel.
Od ledna do srpna 2020 se ve volných chvílích věnoval podrobnému zkoumání formátu Lottie, jeho integraci do mobilních aplikací a zranitelnostem. Výsledek se dostavil – polict identifikoval celkem 13 bezpečnostních nedostatků, které se týkaly aplikací pro Android, iOS a macOS.
Už je opraveno
Uvedené chyby dovolovaly útočníkům zasílat obětem škodlivé nálepky. Přes ně pak bylo možné získat přístup k soukromým zprávám, fotkám a videím. Polict sice naznačuje, že případné zneužití bylo extrémně složité, to však v žádném případě neposkytuje záruku, že chybu nikdo nenašel a nevyužil.
Všechny problémy, které našel, objevitel zodpovědně ohlásil. Vývojáři Telegramu je opravili aktualizacemi vydanými v září a říjnu 2020. V zásadě tedy platí, že pokud jste aplikaci Telegram aktualizovali během posledních čtyř měsíců, pak se nemusíte zranitelností obávat.
Zahraniční weby, které o odhalení bezpečnostních nedostatků informují, se shodují v názoru, že u aplikace, která se pyšní vysokou úrovní zabezpečení, jsou takové informace velmi znepokojující. Jako možnou příčinu uvádějí překotný vývoj, motivovaný snahou o získání nových uživatelů.
