После того как Павел Дуров объявил награду за взлом мобильного приложения Telegram (в частности, секретных чатов, которые передаются по защищенному протоколу MTProto), реакция сообщества не заставила себя долго ждать. Практически сразу объявился первый претендент, который нашел странную модификацию алгоритма обмена ключами Диффи-Хеллмана в протоколе MTProto. За внимательность Павел Дуров пообещал заплатить ему $100 тыс.

Сегодня в MTProto найдена еще одна уязвимость. Она связана с утечкой информации о координатах пользователя приложения Telegram, даже если он использует криптографически защищенные «секретные» чаты. По мнению хакера, это пример того, как не нужно разрабатывать свои приложения, и как можно в спешке допустить ошибку.

Причина утечки данных в том, что даже при шифровании канала Telegram отправлял вызовы у незащищенным интерфейсам Google Maps API для получения сниппета с фрагментом карты, который соответствует местонахождению пользователя. Таким образом, потенциальный злоумышленник, вооруженный сетевым снифером, может легко установить координаты пользователей. Они передавались открытым текстом.

В нашем случае хакер прослушивал трафик из виртуальной машины с помощью сетевого снифера Wireshark.

Разработчики Telegram уже опубликовали патч, закрывающий эту уязвимость. Представители Telegram пообещали автору награду.

UPD. Хакер, который обнаружил уязвимость, согласился прокомментировать для нас эту ситуацию.

Я занимаюсь исключительно безопасностью мобильных приложений, пишу в блоге серию статей с примерами про баги и ошибки разработчиков. Для меня стало неприятным сюрпризом, то как небольшая статья, даже скорее, комментарий, про угрозы небезопасного использования стороннего API, стала хейтерским инструментом для «запомоивания», как минимум, необычного технологического проекта. Возможно, здесь сыграла свою роль характерная черта в работе с общественным мнением.

Проницательным людям известно, что систему характеризует не ошибка, а реакция на ошибку: я впервые столкнулся с тем, что вендор сам вышел на контакт после публикации исследования, сделал это в течении нескольких часов и выкатил исправление менее чем за сутки, пообещав заплатить (и пока у меня нет никаких оснований сомневаться в этом обещании).

По моей личной шкале оценки программ bug bounty это 10 из 10. Если такой подход сохранится, то у Telegram есть очень хорошие шансы получить не только уникальную систему передачи сообщений, но и максимально безопасный, насколько это технологически возможно, клиент для мобильных приложений. Но, как и вся информационная безопасность, выйдет это недешево. 😉

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии