Aplikace Telegram obsahovala 13 bezpečnostních děr. Všechny už byly opraveny

Komunikační aplikace Telegram, ke které se mnoho uživatelů obrací jako k alternativě WhatsAppu, obsahovala třináct zranitelností. Pro firmu Shielder, zabývající se poradenstvím v oblasti IT, je odhalil uživatel, vystupující na internetu pod přezdívkou polict.

Objevitel neváhal a svá zjištění nahlásil vývojářům Telegramu. Ti všechny chyby poměrně rychle opravili, takže v tomto směru je dnes platforma bezpečná. Podstata spočívala v implementaci animovaných nálepek, jež v aplikaci přibyly v roce 2019.

Díry v Telegramu

„Na konci října roku 2019 jsem procházel kód aplikace Telegram pro Android, studoval jsem používané techniky a hledal potenciálně zajímavé funkce.“ popsal polict, co stálo na počátku jeho objevů. „Jen několik měsíců předtím Telegram představil animované nálepky; po přečtení příspěvku na blogu mě napadlo podívat se na to, jak vlastně fungují.“

Při zkoumání narazil na složku rlottie a začal zjišťovat, oč se jedná. Ukázalo se, že jde o nativní knihovnu Samsungu pro přehrávání animací Lottie, původně vytvořenou společností Airbnb. „Nevím jak u vás, ale kombinace Telegramu, Samsungu a animací okamžitě vyvolala můj zájem dozvědět se více.“ konstatuje objevitel.

Od ledna do srpna 2020 se ve volných chvílích věnoval podrobnému zkoumání formátu Lottie, jeho integraci do mobilních aplikací a zranitelnostem. Výsledek se dostavil – polict identifikoval celkem 13 bezpečnostních nedostatků, které se týkaly aplikací pro Android, iOS a macOS.

Už je opraveno

Uvedené chyby dovolovaly útočníkům zasílat obětem škodlivé nálepky. Přes ně pak bylo možné získat přístup k soukromým zprávám, fotkám a videím. Polict sice naznačuje, že případné zneužití bylo extrémně složité, to však v žádném případě neposkytuje záruku, že chybu nikdo nenašel a nevyužil.

Všechny problémy, které našel, objevitel zodpovědně ohlásil. Vývojáři Telegramu je opravili aktualizacemi vydanými v září a říjnu 2020. V zásadě tedy platí, že pokud jste aplikaci Telegram aktualizovali během posledních čtyř měsíců, pak se nemusíte zranitelností obávat.

Zahraniční weby, které o odhalení bezpečnostních nedostatků informují, se shodují v názoru, že u aplikace, která se pyšní vysokou úrovní zabezpečení, jsou takové informace velmi znepokojující. Jako možnou příčinu uvádějí překotný vývoj, motivovaný snahou o získání nových uživatelů.

Diskuze (1) Další článek: V roce 2020 se vyrobilo 333 milionů SSD. Mnohem více než pevných disků

Témata článku: Internet, Bezpečnost, Android, Komunikace, iOS, Telegram, Samsung, Chat, WhatsApp, Instant Messaging, Airbnb, Zranitelnost, Nálepka, Uživatelé, Aplikace, Bezpečnostní díra, Díra, Objevitel, Telegram pro Android


Určitě si přečtěte

Konec modrých obrazovek smrti? Microsoft vydává mimořádnou aktualizaci pro Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10
Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

** Kde jsou ty doby, kdy měl skoro každý doma Photoshop ** Photoshop a Premiere Pro od kamaráda nebo z warezu ** Dnes už to nemá smysl, existuje totiž hromada laciných alternativ

Jakub Čížek | 92

Jakub Čížek
Grafický editorStřih videa
Lépe bylo bez Googlu, přiznal s odstupem bývalý šéf Waze
Markéta Mikešová
WazeGoogle
Volitelná aktualizace Windows 10 opravila několik chyb, způsobila ale další problémy
Karel Kilián
Windows UpdateAktualizaceWindows 10
Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 209

Jiří Kuruc
Apple