Злоумышленник может с помощью командной строки раскрыть персональные данные жертвы.
Исследователь безопасности Ола Флисбек (Ola Flisbäck) обнаружил, что сервис для обмена сообщениями Telegram раскрывает третьим лицам метаданные пользователей. Используя командную строку клиента мессенджера для настольных платформ, злоумышленник может получить доступ к определенной информации, которая может быть использована для слежения за жертвой.
Проблема заключается в том, что приложение Telegram для Android отправляет всем контактам пользователя специальное уведомление при переходе в фоновый режим и повторной активации. Используя эти данные, злоумышленник, у которого есть несколько общих контактов с жертвой, может узнать, с кем она общается и в какое время.
Поскольку осуществление такого типа атаки само по себе требует знание телефона жертвы, злоумышленник может добавить ее в список контактов. Каждый раз, когда жертва будет сворачивать приложение Telegram или возвращаться к нему, клиент будет втайне уведомлять всех пользователей в списке контактов, включая злоумышленника.
Это не единственная проблема безопасности, затрагивающая Telegram. В четверг, 19 ноября, ИБ-исследователь под псевдонимом Grugq заявил , что сервис по обмену зашифрованными сообщениями далеко не настолько безопасен, как кажется на первый взгляд.
Telegram — бесплатный кроссплатформенный мессенджер для смартфонов и других устройств, позволяющий обмениваться текстовыми сообщениями и медиафайлами различных форматов. Сервис ориентирован на международный рынок, имеет мультиязычный интерфейс (английский, немецкий, испанский, итальянский, нидерландский, португальский и др.). В системе используется проприетарная серверная часть, работающая на мощностях нескольких компаний США и Германии, финансируемых Павлом Дуровым в объёме порядка 12 млн долларов США ежегодно, и несколько клиентов с открытым исходным кодом (под GNU GPL).Никаких овечек — только отборные научные факты