Баг в Телеграмме что это

Содержание

На странице bugs.telegram.org пользователи со всего мира могут создавать свои предложения, или жаловаться на недостатки приложений.

Ранее, создание карточек работало не у всех.

Команда Telegram дает несколько рекомендаций тем, кто решит воспользоваться платформой:

не дублировать карточки. Проверить с помощью поиска, есть ли уже похожий запрос.
прикрепить медиа, с изображением бага или новой функции.
указать всю важную информацию для упрощения повторения бага (данные об устройстве, версия клиента, версия системы, шаги воспроизведения, желаемое и фактическое поведение).
быть краткими, но с учетом того, что карточка должна быть понятна тем, кто впервые ее читает.
использовать английский язык, чтобы все пользователи могли понять, что вы предлагаете.

Источник: www.likeni.ru

Я нашёл баг в телеграм

Уязвимость в Telegram для macOS позволяет получить доступ к микрофону и камере

Рекомендуем почитать:

Xakep #288. Неправильные эльфы

Содержание выпуска
Подписка на «Хакер» -60%

Специалист Google обнаружил проблему в Telegram для macOS. Уязвимость позволяет обойти контроль доступа приложений к файлам и получить несанкционированный доступ к микрофону и камере пользователя. Разработчики уже подтвердили наличие бага и сообщили, что исправление находится на рассмотрении Apple.

Уязвимость CVE-2023-26818 обнаружил и детально описал инженер Google Дэн Рева (Dan Revah). По его словам, проблема была найдена еще в феврале, однако связаться с разработчиками Telegram ему не удалось, и поэтому теперь информация о баге была опубликована в открытом доступе до выхода патчей.

Еще по теме: Eye of god Telegram отзывы

В своем блоге Рева объясняет, что уязвимость позволяет внедрить в Telegram для macOS динамическую библиотеку, осуществить локальное повышение привилегий и получить доступ к камере и микрофону через разрешения, которые ранее уже были установлены в Telegram. Он подчеркивает, что даже пользователь root в macOS не имеет разрешения на доступ к микрофону, записи экрана и так далее, если предварительно не было получено прямое согласие на такие действия от пользователя.

Проблема связана с механизмом контроля доступа приложений к файлам (Transparency, Consent, and Control или TCC), который используется в macOS. Этот механизм управляет доступом к защищенным конфиденциальным областям в ОС, и приложения могут получить к ним доступ только путем получения разрешения от пользователя или после обнаружения намерений пользователя через определенное действие.

Также важными защитными механизмами являются Entitlements и Hardened Runtime. Первый из них отвечает за разрешения, предоставляемые конкретному бинарнику для получения определенных привилегий, а второй защищает целостность ПО во время выполнения, предотвращая определенные типы атак, такие как инжекты, DLL hijacking и вмешательство в пространство памяти процессов, наряду с System Integrity Protection (SIP).

ЧТО ДЕЛАТЬ ЕСЛИ ВАС ЗАБЛОКИРОВАЛИ В ТЕЛЕГРАМЕ И ВЫ НЕ МОЖЕТЕ НАПИСАТЬ ПИСЬМО ДРУГИМ ПОЛЬЗОВАТЕЛЯМ?

Интересно, что iOS требует, чтобы приложения, загружаемые в App Store, использовали права Hardened Runtime, а вот для macOS таких требований нет.

Рева выяснил, что приложение Telegram из AppStore не использует эти защитные механизмы должным образом, что позволяет использовать переменную среды DYLD_INSERT_LIBRARIES, которая содержит список библиотек, загружаемых перед запуском приложения. В итоге отсутствие Hardened Runtime позволяет внедрить вредоносную динамическую библиотеку и не заботится о правах. В результате библиотека будет запущена еще до запуска самого Telegram, предоставляя доступ к запрещенным в противном случае функциям.

Еще по теме: Как поставить мелодию на Телеграмм на Айфоне

В качестве демонстрации эксперт создал динамическую библиотеку dylib на Objective-C, которая захватывала видео с камеры жертвы и сохраняла запись в отдельный файл (исследователю пришлось обойти песочницу терминала с помощью LaunchAgents). Разумеется, все это происходило без ведома пользователя.

Теперь, когда эта проблема привлекла внимание ИБ-сообщества и СМИ, разработчики Telegram наконец ответили специалисту.

Официальный аккаунт Telegram в Twitter сообщает, что уязвимость актуальна только для устройств Apple уже зараженных малварью с root-доступом, а также присутствует только в версии Telegram, загруженной из AppStore. То есть если в приложении с официального сайта уязвимости уже нет. В компании сообщают, что патч уже находится на рассмотрении Apple, так что версия в AppStore тоже скоро будет исправлена.

Источник: xakep.ru

Новый баг в Telegram позволяет прочитать последнее сообщение

Недавно я обнаружил в Telegram очень интересный баг. Он позволяет читать удалённые сообщения. И как сторонник и фанат культовых продуктов — тут же отправил сообщение о баге саппорту Telegram. Со спокойной совестью демонстрировал коллегам на работе, найденный баг. «Хочешь восстановлю твоё последнее сообщение в Telegram?» — говорил я и принимался за дело, наблюдая удивленные лица коллег.

В прочем не будем медлить и перейдем к делу

Версия Telegram Desktop 1.6.3(последняя возможная на сегодня)

Шаги для воспроизведения

Отправляем «секретное» сообщение Бобу
Чистим чат сообщений с Бобом, кнопочка «Clear history»
Отправляем новое любое сообщение Бобу
Удаляем сообщение из контекстного меню «Delete message» (ставим галочку — удалить у Боба тоже)

Все сообщения удалены и чат полностью пуст.

Появилось наше «секретное сообщение», которое было удалено.

Дальнейший ход моих мыслей

Первым делом, хотелось понять — это сторона сервера или сторона клиента. Поэтому аналогичным образом я попытался воспроизвести багу на клиенте Telegram под Android. К сожалению, на сотовом бага не воспроизвелась и оптимизм уже поубавился. Стало понятно, что перед нами скорее всего косметический фикс: напутали с индексами и из локального кэша достается чуть больше записей.

Еще по теме: Как посмотреть удаленные в Телеграмме

Так как Telegram Desktop является open source и лежит на github. Я нашёл свою версию Telegram, открыл код и попытался понять что к чему. Код оказался достаточно тривиальным и понятным. Всё начинается с подвешивания обработчика для команды. Он всего лишь показывает диалоговое окошечко с параметрами для удаления и дальше идёт очистка чата.

Лично я визуально глазом ни за что не зацепился и вроде всё работает правильно. Нужно развернуть environment, отладить и сразу станет понятно, что к чему.

На текущей момент и на момент публикации данной статьи — данная бага не исправлена, поэтому вы можете удивлять ею коллег и друзей. Можете показать своей девушке, чтобы она не делала глупостей.

Если вам понравится данная статья и будет много комментариев, я обязательно напишу следующую статью: «Как я исправил баг в Telegram». А так же расскажу подробно, как развернуть environment для desktop версии Telegram. Спасибо за внимание!

Источник: temofeev.ru

Уязвимость в Telegram для macOS позволяет получить доступ к микрофону и камере

Xakep #288. Неправильные эльфы

Новый баг в Telegram позволяет прочитать последнее сообщение

В прочем не будем медлить и перейдем к делу

Дальнейший ход моих мыслей

Если включить автоудаление в Телеграм сохраняется ли в облаке Телеграм

Если видишь аватарку в Телеграмме и одну галочку в сообщении

Если видишь человека в сети в Телеграме значит ты не заблокировала

Если включил пароль Телеграм а потом как выключить

Если вести Телеграм канал то можно ли узнать чей он

Если виден статус а аватарка нет есть ли блокировка Телеграмм

Если видео сохранено в Телеграмме в телефон а в приложении удалено как зайти

Если ваш Телеграмм использует другой человек что делать