Сообщается, что "новая" критическая уязвимость позволяет злоумышленникам перехватывать управление учетными записями пользователей и каналами. Как пишет российское издание "Газета.ru", с ее помощью уже взломали несколько человек.
Интересно Telegram Premium: какие преимущества предложит платная версия мессенджера
Опасность преувеличена
В материале цитируется руководитель департамента аналитической компании T. Hunter Игорь Бедеров. Однако он несколько опоздал. Приблизительно в год.
В десктопной версии Telegram есть уязвимость, допускающая запуск стороннего кода, инъекция которого осуществляется при переходе по ссылке,
– заявил он, в качестве подтверждений поделившись ссылкой на прошлогоднее исследование, в котором описывалась проблема многих приложений в результате приема нестандартных URL.
- Описанный баг был характерен для Desktop-версии мессенджера. Он связан с обработкой приложением URL-протоколов sftp://, file:// и подобных.
- Такие ссылки действительно могут содержать что угодно, включая вредоносное ПО.
- Но практически это проблема не именно Telegram, а вообще любой программы, которая поддерживает такие ссылки.
Опасность проблемы преувеличена по нескольким причинам:
- Она уже давно исправлена на стороне сервера Telegram. Сейчас ссылки вида sftp:// не работают и остаются простым текстом.
- По умолчанию Windows даже не способна обработать протокол sftp://. Для открытия такой ссылки у пользователя должен быть соответствующий софт, подобный WinSCP.
- Если пользователь кликнет по такой ссылке, система предупредит его, что он собирается получить пакеты с неизвестного сервера, на котором может быть что угодно. Только после подтверждения пользователя злоумышленники могут использовать вредоносный код.
Таким образом, сегодня нельзя говорить об уязвимости на стороне именно Telegram. Мессенджер больше не обрабатывает нестандартные ссылки. Поэтому пользователю придется самостоятельно ее скопировать и принять решение о разрешении на обработку специальными программами. Следует помнить о безопасности в интернете и не открывать какие-либо ссылки или файлы от незнакомых вам людей.
Кстати, аналогичные проблемы выполнения кода за один клик обнаружили у Nextcloud, VLC, Libre-/OpenOffice, кошельки Bitcoin/Dogecoin, Wireshark и Mumble.