Телеграм позволяет перейти в браузерную версию без логина; этим могут воспользоваться силовики
Новость
27 апреля 2024, 11:02

Телеграм позволяет перейти в браузерную версию без логина; этим могут воспользоваться силовики

Телеграм позволяет перейти в браузерную версию мессенджера без ввода пароля двойной защиты. Уязвимость заметили журналисты, которые обнаружили у себя в мессенджере открытые веб-сессии, пишет российская «Медиазона».

Это происходит из-за автологина: если из приложения телеграм на мобильном телефоне открыть ссылку web.telegram.org, вы попадете в свой аккаунт в окне браузера без каких-либо дополнительных проверок. Эту веб-сессию легко «украсть», если ваш телефон попадет в руки злоумышленников или силовиков. Затем ваши переписки можно будет читать из другого устройства в режиме реального времени.

Автологин в вашем браузере произойдет при любом нажатии на ссылку web.telegram.org, если кликнуть на нее в мобильном приложении мессенджера. При нажатии на такую ссылку вы получите свой аккаунт в окне браузера без каких-либо дополнительных проверок, даже если у вас включена двухфакторная аутентификация.

Эту сессию легко скопировать из браузера и получить таким образом доступ к веб-версии вашего аккаунта. К примеру, когда вы даете свой телефон с открытым телеграмом на проверку силовикам, они могут сами открыть веб-версию телеграма на вашем устройстве, либо скопировать уже готовую сессию из браузера, если вы открывали ее ранее. Таким образом силовики получают постоянный доступ к вашему аккаунту до тех пор, пока вы не почистите открытые сессии.

Журналисты российской «Медиазоны» проверили, как это работает: создали новый аккаунт в телеграме с двухфакторной авторизацией. Пройдя по ссылке в мобильном приложении, они моментально получили доступ к тому же аккаунту в браузере Chrome этого же мобильного телефона. Никаких кодов или прохождения двухфакторной авторизации не потребовалось.

Затем они включили в настройках телефона опцию USB Debugging и подключили его к компьютеру. На компьютере, используя в браузере Chrome режим Remote Debugger, открыли вкладку с телеграмом, перешли в раздел, где хранятся сессии сайта в мобильном браузере, и полностью перенесли содержимое этого раздела в аналогичное место в браузер на компьютере. Обновив страницу, они получили полный доступ к тому же аккаунту.

Издание пишет, что все эти процессы можно автоматизировать. И затем для того, чтобы получить доступ к телеграм, силовикам потребуется на ненадолго получить в свои руки разблокированный телефон.

Выключить автологин в мобильном приложении Telegram нельзя. Единственный способ защитится — чистить открытые сессии каждый раз, как телефон побывал в руках силовиков.