HimeraSearchDB
Carding_EbayThief
triada
CrackerTuch
d-shop
HimeraSearchDB

НОВОСТИ Телеграм.пёс, или как не нужно делать зеркала

Bonnie
Оффлайн

Bonnie

Регистрация
12.04.17
Сообщения
19.095
Реакции
107
Репутация
0
wxbnn3pvj5j5lchxbe_nduifjfc.png

Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.

Есть официальный домен —
You must be registered for see links
.
Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет
You must be registered for see links
, но домен выглядит круче!

Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.

liyv9x_jzj4f-fqieutjq3gp-vu.png


Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.

7s-8ghgyc1atantimxg2ocqnmzg.png


Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?

Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.

Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.

9ii5lng0adx8a-drniukzeusxrm.jpeg
Обе ссылки откроют канал
You must be registered for see links


Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.

Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на
You must be registered for see links
, ваш друг мог бы даже не понять, что что-то пошло не так.

yzh8bbwunlyxeawtp_ka_uhtht4.png


Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.

А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?

О багах
Багрепорт о telegram.dog был отправлен в сентябре 2019-го и был проигнорирован.
Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.

Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу