Телеграм.пёс, или как не нужно делать зеркала

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.


Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.

Есть официальный домен — telegram.dog.

Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!

Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.



Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.



Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?

Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.

Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.

Обе ссылки откроют канал @desktop

Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.

Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на FAQ о каналах, ваш друг мог бы даже не понять, что что-то пошло не так.



Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.

А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?

О багах
Багрепорт о telegram.dog был отправлен в сентябре 2019-го и был проигнорирован.
Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.

Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.
Источник: https://habr.com/ru/post/498944/


Интересные статьи

Интересные статьи

На днях мы запустили «Актион Акселератор», поддерживающий специалистов и предпринимателей в области корпоративного обучения. В него входят пять тематических программ: от ...
SWAP (своп) — это механизм виртуальной памяти, при котором часть данных из оперативной памяти (ОЗУ) перемещается на хранение на HDD (жёсткий диск), SSD (твёрдотельный накоп...
Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные во...
Уже 2 года я развиваю робототехнику в России. Наверно громко сказано, однако недавно устроив вечер воспоминаний понял, что за это время под моим руководством было открыто 12 кружков по России...
Ключевые моменты Многие организации устали от Agile Часть проблемы — в существовании большой коммерческой отрасли Agile Нужно вернуться к основам: простоте Манифеста и 12 принципов Пр...