Новости и события » Hi-Tech » Чужой iPhone можно «убить» одним сообщением в Telegram

Чужой iPhone можно «убить» одним сообщением в Telegram

Чужой iPhone можно «убить» одним сообщением в Telegram

Два иранских специалиста обнаружили уязвимость в мессенджере Telegram. Оказалось, можно принудительно вызвать перезагрузки или зависание смартфона, отправив ему сообщение со специальным кодом, передает Cnews.

В Telegram есть уязвимость, посредством которой злоумышленник может отправить на устройство жертвы сообщение произвольной длины и «подвесить» его вследствие переполнения оперативной памяти. «Дыру» безопасности обнаружили независимые исследователи из Ирана Садег Ахмаджадеган и Омид Гаффариния

Проблема в том, что пользователь Telegram принимает сообщения от любых контактов, даже если они не входят в его список. Уязвимость содержится в алгоритме проверки длины сообщения, чтобы пользователи не могли «спамить» друг другу. Длина сообщения в Telegram не должна превышать 4096 байт (при этом она также не может быть нулевой). Также существует ограничение на частоту отправки сообщений, но исследователи не уточнили, какое именно.

«Вследствие программной ошибки отправитель может получить контроль над длиной сообщения и отправлять сообщения любого размера. Адресат будет получать все сообщения, которые отправляются к нему, вне зависимости от их длины», - говорится в блоге исследователей.

Авторы находки в качестве эксперимента отправили в Telegram на мобильном устройстве сообщение длиной 30 кБ (что существенно превышает установленное ограничение в 4096 байт).

При получении подобного сообщения устройство получателя зависает вследствие переполнения оперативной памяти. Или может произойти сбой в работе приложения. Исследователи также отметили, что прием подобных сообщений может пагубно сказаться на расходах - пользователь просто будет вынужден их принять и оплатить трафик. Это также может быстрее разрядить аккумулятор.

В блоге исследователи опубликовали proof-of-concept видео, демонстрирующее атаки в действии. Им удалось потратить 256 из 300 оплаченных МБ пользовательского трафика за считанные минуты.

«Из-за этого вы можете проспать все на свете (потому что ваш телефон «подвис», и будильник не сработал:D), или обнаружить, что прошлой ночью ваш телефон страдал от бессонницы, потому что скачивал десятки гигабайт данных (то есть текстовых сообщений)», - пишут исследователи.

Исследователи утверждают, что команда Telegram не исправила ошибку. Поэтому они решили пока не публиковать эксплойт в открытом доступе, который бы открыл хакерам путь к этой уязвимости.

Чужой iPhone можно «убить» одним сообщением в Telegram

Чужой iPhone можно «убить» одним сообщением в Telegram


Чемпионка Европы из Украины взорвала сеть мокрыми снимками

Чемпионка Европы из Украины взорвала сеть мокрыми снимками

Украинская спортсменка Алена Чумакова, которая в начале мая прошлого года одержала победу в чемпионате Европы по бодибилдингу и фитнесу 2017 IFBB European Championship, порадовала своих поклонников новыми фото в бикини. Об этом сообщают СМИ. подробнее ...

загрузка...

 

Вверх