Пользователь ресурса habr.com под псевдонимом ne555 обнаружил в мессенджере Telegram уязвимость, позволяющую обходить пароль local code любой длины. Уязвимость является «продолжением» обнаруженной им ранее уязвимости, с помощью которой атакующий мог скомпрометировать секретные чаты.

Как сообщал исследователь, для того чтобы завладеть секретными чатами Telegram, «достаточно было скопировать “несколько файлов” с root-девайса на другой, взломать некриптостойкий local code с помощью JTR». Хотя скорость брутфорс-атаки была довольно большой, ее все равно было недостаточно для быстрого взлома local code, состоящего более чем из 30 знаков. Теперь же ne555 доработал свою атаку и описал способ, позволяющий взломать local code пароля любой длины и сложности.

Исследователь протестировал атаку на четырех Android-приложениях – KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» и Telegram. Как оказалось, уязвимости подвержен только Telegram.

«Telegram подвержен атаке хищения ключей, но самое странное в мессенджере – “интегрированный отпечаток пальца в приложение”» – сообщил исследователь. В KeePassDroid, «Сбербанк Онлайн», «Яндекс.Деньги» реализована функция разблокировки приложения по отпечатку, поэтому они защищены от подобных атак. В Telegram эта функция принудительно интегрирована, и злоумышленники могут ею воспользоваться.

Источник: securitylab.ru