Утечка геолокационных данных в Telegram: пример неаккуратного программирования

После того как Павел Дуров объявил награду за взлом мобильного приложения Telegram (в частности, секретных чатов, которые передаются по защищенному протоколу MTProto), реакция сообщества не заставила себя долго ждать. Практически сразу объявился первый претендент, который нашел странную модификацию алгоритма обмена ключами Диффи-Хеллмана в протоколе MTProto. За внимательность Павел Дуров пообещал заплатить ему $100 тыс.

Сегодня в MTProto найдена еще одна уязвимость. Она связана с утечкой информации о координатах пользователя приложения Telegram, даже если он использует криптографически защищенные «секретные» чаты. По мнению хакера, это пример того, как не нужно разрабатывать свои приложения, и как можно в спешке допустить ошибку.

Причина утечки данных в том, что даже при шифровании канала Telegram отправлял вызовы у незащищенным интерфейсам Google Maps API для получения сниппета с фрагментом карты, который соответствует местонахождению пользователя. Таким образом, потенциальный злоумышленник, вооруженный сетевым снифером, может легко установить координаты пользователей. Они передавались открытым текстом.

Утечка геолокационных данных в Telegram: пример неаккуратного программирования

В нашем случае хакер прослушивал трафик из виртуальной машины с помощью сетевого снифера Wireshark.

Разработчики Telegram уже опубликовали патч, закрывающий эту уязвимость. Представители Telegram пообещали автору награду.

UPD. Хакер, который обнаружил уязвимость, согласился прокомментировать для нас эту ситуацию.

Я занимаюсь исключительно безопасностью мобильных приложений, пишу в блоге серию статей с примерами про баги и ошибки разработчиков. Для меня стало неприятным сюрпризом, то как небольшая статья, даже скорее, комментарий, про угрозы небезопасного использования стороннего API, стала хейтерским инструментом для «запомоивания», как минимум, необычного технологического проекта. Возможно, здесь сыграла свою роль характерная черта в работе с общественным мнением.

Проницательным людям известно, что систему характеризует не ошибка, а реакция на ошибку: я впервые столкнулся с тем, что вендор сам вышел на контакт после публикации исследования, сделал это в течении нескольких часов и выкатил исправление менее чем за сутки, пообещав заплатить (и пока у меня нет никаких оснований сомневаться в этом обещании).

По моей личной шкале оценки программ bug bounty это 10 из 10. Если такой подход сохранится, то у Telegram есть очень хорошие шансы получить не только уникальную систему передачи сообщений, но и максимально безопасный, насколько это технологически возможно, клиент для мобильных приложений. Но, как и вся информационная безопасность, выйдет это недешево. ;)

Подробнее: http://www.xakep.ru/post/61815/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Утечка геолокационных данных в Telegram: пример неаккуратного программирования | | 2013-12-25 23:11:00 | | Статьи об Интернет безопасности | | После того как Павел Дуров объявил награду за взлом мобильного приложения Telegram (в частности, секретных чатов, которые передаются по защищенному протоколу MTProto), реакция сообщества не заставила | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: