Утечка геолокационных данных в Telegram: пример неаккуратного программирования

26.12.2013 | 10:21
После того как Павел Дуров объявил награду за взлом мобильного приложения Telegram (в частности, секретных чатов, которые передаются по защищенному протоколу MTProto), реакция сообщества не заставила себя долго ждать. Практически сразу объявился первый претендент, который нашел странную модификацию алгоритма обмена ключами Диффи-Хеллмана в протоколе MTProto. За внимательность Павел Дуров пообещал заплатить ему $100 тыс.

Сегодня в MTProto найдена еще одна уязвимость. Она связана с утечкой информации о координатах пользователя приложения Telegram, даже если он использует криптографически защищенные «секретные» чаты. По мнению хакера, это пример того, как не нужно разрабатывать свои приложения, и как можно в спешке допустить ошибку.

Причина утечки данных в том, что даже при шифровании канала Telegram отправлял вызовы у незащищенным интерфейсам Google Maps API для получения сниппета с фрагментом карты, который соответствует местонахождению пользователя. Таким образом, потенциальный злоумышленник, вооруженный сетевым снифером, может легко установить координаты пользователей. Они передавались открытым текстом.
Утечка геолокационных данных в Telegram: пример неаккуратного программирования
В нашем случае хакер прослушивал трафик из виртуальной машины с помощью сетевого снифера Wireshark.

Разработчики Telegram уже опубликовали патч, закрывающий эту уязвимость. Представители Telegram пообещали автору награду.
уязвимости, шифрование, Telegram
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код