Критическая уязвимость Telegram: доступ к аккаунту со всеми мерами защиты

Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во встроенном браузере Telegram, ваш аккаунт мог оказаться под контролем злоумышленников. Двухфакторная защита и облачный пароль в этом случае не помогут.

Злоумышленники могут получить доступ к аккаунту, не зная вашего пароля, почты, номера телефона и без доступа к устройствам, на которых у вас запущен клиент.

То есть принимаемые встроенные меры не обеспечивают необходимой безопасности. К тому же, время ответа и помощи поддержки Telegram недостаточны, чтобы предотвратить потерю средств, истории личных сообщений, доступ к личным каналам и профессиональным чатам.

Злоумышленник, получив авторизационный токен, может войти в ваш аккаунт через web.telegram.org, даже если у него нет пароля или доступа к вашему телефону. Важно, что при этом не будет никаких уведомлений о входе, смене данных аккаунта, добавлении новых устройств. Это означает, что злоумышленник может тихо использовать ваш аккаунт, не оставляя никаких признаков вторжения.

На данный момент помимо базовой защиты и внимательности нужно:

1. Отключить встроенный веб браузер

2. Ещё внимательнее чем раньше открывать рандом линки

Пару слов от меня:

Оригинал прочёл 28го числа, а сам пост от 30.04.25

На данный момент нету информации об обратной связи от Телеграм и\или о фиксе. Но статья на Хабре не открывается (возможно потому что в процессе работы. но это догадки)

Первым похоже упомянул об этом данный канал в ТГ

В ходе репоста новости по чатам, узнал от одного контакта, что по симптомам, как раз 1в1 случай у трёх друзей моего контакта. Т.е. есть случаи через 7 рукопожатий.