Телеграм позволяет перейти в браузерную версию мессенджера без ввода пароля двойной защиты. Уязвимость заметили журналисты, которые обнаружили у себя в мессенджере открытые веб-сессии, пишет российская «Медиазона».
Это происходит из-за автологина: если из приложения телеграм на мобильном телефоне открыть ссылку web.telegram.org, вы попадете в свой аккаунт в окне браузера без каких-либо дополнительных проверок. Эту веб-сессию легко «украсть», если ваш телефон попадет в руки злоумышленников или силовиков. Затем ваши переписки можно будет читать из другого устройства в режиме реального времени.
Автологин в вашем браузере произойдет при любом нажатии на ссылку web.telegram.org, если кликнуть на нее в мобильном приложении мессенджера. При нажатии на такую ссылку вы получите свой аккаунт в окне браузера без каких-либо дополнительных проверок, даже если у вас включена двухфакторная аутентификация.
Эту сессию легко скопировать из браузера и получить таким образом доступ к веб-версии вашего аккаунта. К примеру, когда вы даете свой телефон с открытым телеграмом на проверку силовикам, они могут сами открыть веб-версию телеграма на вашем устройстве, либо скопировать уже готовую сессию из браузера, если вы открывали ее ранее. Таким образом силовики получают постоянный доступ к вашему аккаунту до тех пор, пока вы не почистите открытые сессии.
Журналисты российской «Медиазоны» проверили, как это работает: создали новый аккаунт в телеграме с двухфакторной авторизацией. Пройдя по ссылке в мобильном приложении, они моментально получили доступ к тому же аккаунту в браузере Chrome этого же мобильного телефона. Никаких кодов или прохождения двухфакторной авторизации не потребовалось.
Затем они включили в настройках телефона опцию USB Debugging и подключили его к компьютеру. На компьютере, используя в браузере Chrome режим Remote Debugger, открыли вкладку с телеграмом, перешли в раздел, где хранятся сессии сайта в мобильном браузере, и полностью перенесли содержимое этого раздела в аналогичное место в браузер на компьютере. Обновив страницу, они получили полный доступ к тому же аккаунту.
Издание пишет, что все эти процессы можно автоматизировать. И затем для того, чтобы получить доступ к телеграм, силовикам потребуется на ненадолго получить в свои руки разблокированный телефон.
Выключить автологин в мобильном приложении Telegram нельзя. Единственный способ защитится — чистить открытые сессии каждый раз, как телефон побывал в руках силовиков.