В Telegram выявили небольшую, но опасную уязвимость, которой могут воспользоваться силовики

При переходе по ссылкам на Web.telegram.org из программы происходит автоматический логин в аккаунт, чем могут воспользоваться силовики. На проблему обратили внимание российские расследователи и «Медиазона». «Белсат» проверил: на момент публикации проблема не решена.

Ссылка на страницу Web.telegram.org в мессенджере Telegram.
Фото: Белсат

Три российских журналиста заметили у себя в мессенджере Telegram подозрительные сессии с мест, где они не находились. IT-специалист выдвинул теорию о том, как кто-то может читать чужой Telegram.

Мессенджер Telegram работает как отдельная программа для Win­dows, MacOS, Lin­ux, Android, iOS, существуют неофициальные программы для других платформ. Также Telegram может работать прямо в браузере через Web-версию.

Именно через последнюю и может возникать проблема. Дело в том, что при переходе с официальных клиентов Telegram на телефонах и компьютерах по любой ссылке на страницу этой версии Web.telegram.org происходит автоматический логин в браузере. Ввести пароль, код или что-либо другое при этом не просят (хотя Telegram и сообщит пользователю о новой сессии на всех устройствах).

Если войти в Web-версию ошибочно, это не проблема – можно и выйти. Это можно воспринимать даже не уязвимостью, а удобной особенностью.

Однако, как замечает «Медиазона», силовики при «проверке телефона» могут открыть Telegram (если задержанный их пустит в мессенджер или не защитит свое устройство паролями) и получить полный и неограниченный доступ к переписке пользователя в своем браузере. Кроме того, сессию браузера могут скопировать через функцию USB Debug­ging, если таковая была ранее включена пользователем в настройках телефона.

Защититься от этого заранее нельзя, но после попадания телефона в руки силовиков можно зайти в настройки Telegram, в разделе «Конфиденциальность и безопасность» посмотреть на «Активные сессии» и остановить нежелательные либо все сразу.