Иранские исследователи нашли баг, который «вешает» Telegram
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Иранские исследователи нашли баг, который «вешает» Telegram

Александр Панасенко 15 Июня 2016 - 12:01
...

Два независимых исследователя из Ирана, Садег Ахмаджадеган (Sadegh Ahmadzadegan) и Омид Гаффариния (Omid Ghaffarinia), обнаружили баг в приложении Telegram, эксплуатация которого приводит к отказу обслуживания. Ошибка связана с минимальным и максимальным размером сообщений, и она пока не устранена, так как исследователям не удалось связаться с разработчиками мессенджера.

Ахмаджадеган и Гаффариния пишут, что проблема связана с ограничениями на размеры сообщений. Так, исследователям удалось выяснить, что минимальный размер сообщения равняется одному байту, тогда как максимальный ограничен 4096 байтам.

Обойдя эти лимиты, исследователи сумели реализовать два типа атак. При отправке пустого сообщения можно вызвать «холостое» срабатывание уведомлений, тогда как сообщение слишком большого размера может наглухо «подвесить» приложение и всю систему вообще. Большие сообщения также опасны тем, что вызывают повышенное потребление трафика, что может больно ударить по кошельку некоторых пользователей, передает xakep.ru.

В блоге исследователи опубликовали proof-of-concept видео, демонстрирующее атаки в действии. Им удалось потратить 256 из 300 оплаченных мегабайт пользовательского трафика за считанные минуты.

Стоит отметить, что пользователи Telegram могут получать сообщения не только от своего списка контактов, так что при желании злоумышленники могут довольно жестоко затроллить свою жертву. Атакующий может использовать анонимный номер, написать скрипт для автоматизации и устроить настоящую DoS-атаку на приложение своей жертвы. Как уже было сказано выше, помимо постоянных «падений» мессенджера или всей системы, это может привести к непредвиденным затратам на оплату трафика.

«Из-за этого вы можете проспать все на свете (потому что ваш телефон «подвис», и будильник не сработал :D), или обнаружить, что прошлой ночью ваш телефон страдал от бессонницы, потому что скачивал десятки гигабайт данных (то есть текстовых сообщений)», — пишут исследователи.

К сожалению, технических деталей о баге пока нет, так как исследователи не смогли связаться с разработчиками Telegram и сообщить им о проблеме. Как только ошибка будет устранена, иранский дуэт обещает обнародовать детали.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ростелеком не уведомил Роскомнадзор об утечке данных
Яков Шпунт 22 Января 2025 - 10:31
Утечки информацииУмышленные утечки информацииКража данныхСоответствие законодательству РФ Общее Соответствие требованиям регуляторов
Ростелеком не уведомил Роскомнадзор об утечке данных

Роскомнадзор не получил уведомления от «Ростелекома» об утечке данных после инцидента, о котором стало известно 21 января. Напомним, одна из хактивистских группировок опубликовала в открытом доступе массив данных, похищенных с двух ресурсов оператора.

В самой компании ответственность за случившееся возложили на внешнего подрядчика.

В «Ростелекоме» также заявили, что атакованные ресурсы не содержали персональных данных физических лиц:

«На этих ресурсах не хранятся и не обрабатываются персональные данные частных клиентов».

Минцифры через официальный телеграм-канал подтвердило, что инцидент не затронул ПДн:

«Персональные данные частных клиентов подрядчика также не пострадали. Упомянутые в анонимных сообщениях интернет-ресурсы не предназначены для обслуживания физических лиц. На них не хранятся и не обрабатываются персональные данные. Мы совместно с “Ростелекомом” уже работаем над усилением защиты этой части инфраструктуры. Все необходимые меры приняты, ведётся подробное расследование».

Пресс-служба Роскомнадзора в ответ на запрос «Интерфакса» сообщила, что регулятор не получил уведомления от «Ростелекома» об инциденте:

«В соответствии с законом №152-ФЗ оператор, допустивший утечку персональных данных, обязан в течение 24 часов уведомить об этом Роскомнадзор. По состоянию на 15:30 21 января 2025 года уведомление о данной утечке персональных данных не поступало».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
WhatsApp глушит микрофон на Android, баг пока не исправлен
Новость
WhatsApp глушит микрофон на Android, баг пока не исправлен
Роскомнадзор усилит контроль за обходом блокировок
Новость
Роскомнадзор усилит контроль за обходом блокировок
Российские компании атакуют с помощью почти невидимого загрузчика
Новость
Российские компании атакуют с помощью почти невидимого загру...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.