Stfw.RuКак сообщают исследователи службы HackApp, им удалось обнаружить очередную уязвимость в мобильном приложении Telegram, код которого недавно был полностью раскрыт в целях повышения безопасности сервиса. Указанная брешь была выявлена в протоколе MTProto и, как сообщается, позволяет потенциальным злоумышленникам перехватывать геолокационные данные пользователя.
Напомним, что создатель Telegram Павел Дуров объявил награду за обнаружение бреши, позволяющей расшифровать трафик мобильного приложения. В целях повышения безопасности сервиса основатель ВКонтакте попытался привлечь внимание как можно большего количества экспертов суммой в $200 тысяч.
По данным HackApp, обнаруженная ими уязвимость возникла из-за невнимательности разработчиков. Она заключается в том, что несмотря на шифрование канала связи приложение обращается к Google Maps API и принимает от него геолокационные данные в виде открытого текста. Для перехвата этой информации достаточно было воспользоваться снифером Wireshark.
Интересно также, что ранее российский исследователь, скрывающийся под псевдонимом x7mz, обнаружил небезопасную модификацию в алгоритме обмена ключами Диффи-Хеллмана, который применяется в Telegram. Эксперт получил от Дурова словесную благодарность , а также поощрительное вознаграждение в $100 тысяч.
О выплате какого-либо вознаграждения представителям HackApp, а также о реакции Дурова на проведенную ими работу пока ничего неизвестно. В то же время, данная уязвимость уже была устранена разработчиками Telegram.
