Критическая уязвимость Telegram: доступ к аккаунту со всеми мерами защиты
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во встроенном браузере Telegram, ваш аккаунт мог оказаться под контролем злоумышленников. Двухфакторная защита и облачный пароль в этом случае не помогут.
Злоумышленники могут получить доступ к аккаунту, не зная вашего пароля, почты, номера телефона и без доступа к устройствам, на которых у вас запущен клиент.
То есть принимаемые встроенные меры не обеспечивают необходимой безопасности. К тому же, время ответа и помощи поддержки Telegram недостаточны, чтобы предотвратить потерю средств, истории личных сообщений, доступ к личным каналам и профессиональным чатам.
Что означает эта уязвимость?
Злоумышленник, получив авторизационный токен, может войти в ваш аккаунт через web.telegram.org, даже если у него нет пароля или доступа к вашему телефону. Важно, что при этом не будет никаких уведомлений о входе, смене данных аккаунта, добавлении новых устройств. Это означает, что злоумышленник может тихо использовать ваш аккаунт, не оставляя никаких признаков вторжения.
Советы по защите
На данный момент помимо базовой защиты и внимательности нужно:
1. Отключить встроенный веб браузер
2. Ещё внимательнее чем раньше открывать рандом линки
Пару слов от меня:
Оригинал прочёл 28го числа, а сам пост от 30.04.25
На данный момент нету информации об обратной связи от Телеграм и\или о фиксе. Но статья на Хабре не открывается (возможно потому что в процессе работы. но это догадки)
Первым похоже упомянул об этом данный канал в ТГ
В ходе репоста новости по чатам, узнал от одного контакта, что по симптомам, как раз 1в1 случай у трёх друзей моего контакта. Т.е. есть случаи через 7 рукопожатий.