Investigadores da Shielder descobriram uma falha do Telegram que podia ser usada para aceder ou expor dados sensíveis como mensagens, fotos, vídeos aos atacantes. Tudo, através do envio de um sticker a um utilizador do Telegram
A exploração seria feita através do envio de stickers mal-formados para utilizadores, e aí teriam acesso a mensagens, fotos, vídeos trocados tanto em chats clássicos como secretos. Para os investigadores fazerem o teste, usaram a livraria de C++ denomada rlottie para parsar as animações e fazerem a triagem dos "crashes". Assim que iniciavam o AFL-fuzz, foram observadas múltiplas falhas provocadas por diversos problemas, incluindo escritas/leituras fora de banda, escritas stack-based out-of-bound e SEGV's.
Esta falha foi endereçada ainda no ano passado, em outubro de 2020.
Mais informações: https://www.hackread.com/sticker-exposed-telegram-secret-chats/
Pode ser feito o download do Telegram aqui: https://desktop.telegram.org/
Mais informações no blogue dos investigadores: https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface/
Comments