В Telegram выявили небольшую, но опасную уязвимость, которой могут воспользоваться силовики
При переходе по ссылкам на Web.telegram.org из программы происходит автоматический логин в аккаунт, чем могут воспользоваться силовики. На проблему обратили внимание российские расследователи и «Медиазона». «Белсат» проверил: на момент публикации проблема не решена.
Три российских журналиста заметили у себя в мессенджере Telegram подозрительные сессии с мест, где они не находились. IT-специалист выдвинул теорию о том, как кто-то может читать чужой Telegram.
Мессенджер Telegram работает как отдельная программа для Windows, MacOS, Linux, Android, iOS, существуют неофициальные программы для других платформ. Также Telegram может работать прямо в браузере через Web-версию.
Именно через последнюю и может возникать проблема. Дело в том, что при переходе с официальных клиентов Telegram на телефонах и компьютерах по любой ссылке на страницу этой версии Web.telegram.org происходит автоматический логин в браузере. Ввести пароль, код или что-либо другое при этом не просят (хотя Telegram и сообщит пользователю о новой сессии на всех устройствах).
Если войти в Web-версию ошибочно, это не проблема – можно и выйти. Это можно воспринимать даже не уязвимостью, а удобной особенностью.
Однако, как замечает «Медиазона», силовики при «проверке телефона» могут открыть Telegram (если задержанный их пустит в мессенджер или не защитит свое устройство паролями) и получить полный и неограниченный доступ к переписке пользователя в своем браузере. Кроме того, сессию браузера могут скопировать через функцию USB Debugging, если таковая была ранее включена пользователем в настройках телефона.
Защититься от этого заранее нельзя, но после попадания телефона в руки силовиков можно зайти в настройки Telegram, в разделе «Конфиденциальность и безопасность» посмотреть на «Активные сессии» и остановить нежелательные либо все сразу.
Алесь Новоборский/ Авер belsat.eu
