Telegram’dagi zaiflik foydalanuvchilarga mahalliy kod parollarini chetlab o‘tish imkonini beradi.
Tadqiqotchi har qanday uzunlik va murakkablikdagi mahalliy kod parollarini chetlab o’tish usulini topdi.
habr.com foydalanuvchisi ne555 taxallusidan foydalanib, Telegram messenjerida istalgan uzunlikdagi mahalliy kodlarni chetlab o’tish imkonini beruvchi zaiflikni aniqladi. Ushbu zaiflik avvalroq aniqlangan zaiflikning «davomi» bo’lib, tajovuzkorga maxfiy chatlarni buzishga imkon berdi. Tadqiqotchi xabar berishicha, maxfiy Telegram chatlariga kirish uchun «rootlangan qurilmadan boshqasiga «bir nechta fayllarni» nusxalash va JTR yordamida zaif mahalliy kodni buzish kifoya edi». Qo’pol kuch hujumi juda tez bo’lsa-da, 30 belgidan uzunroq mahalliy kodni tezda buzish uchun hali ham yetarli emas edi. Endi ne555 o’z hujumini takomillashtirdi va istalgan uzunlikdagi va murakkablikdagi parolning mahalliy kodini buzish usulini tasvirlab berdi.
Tadqiqotchi hujumni to’rtta Android ilovasida sinab ko’rdi: KeePassDroid, Sberbank Online, Yandex.Money va Telegram. Ma’lum bo’lishicha, faqat Telegram zaif ekan.
Tadqiqotchining ta’kidlashicha, «Telegram asosiy o’g’irlik hujumlariga zaif, ammo messenjerning eng g’alati tomoni shundaki, u «ilovaga integratsiyalashgan barmoq izi»ga ega». KeePassDroid, Sberbank Online va Yandex.Money barchasi barmoq izlarini ochishni amalga oshiradi, bu ularni bunday hujumlarga qarshi immunitetga ega qiladi. Telegramda bu xususiyat majburan integratsiya qilingan va tajovuzkorlar undan foydalanishlari mumkin.
