Telegram иловасида хавфли заифлик аниқланди

Telegram иловасининг Android учун мўлжалланган 11.7.4 версиясида муҳим заифлик аниқланди. Бу ҳақда мустақил тадқиқотчи 0x6rss хабар берди.

Бу заифлик тажовузкорларга Telegram иловасидаги видео кўриш хизмати орқали зарарли APK файлларини фойдаланувчи қурилмасига юклаш имконини беради. Бунга ҳуқуқ ҳимояси бўйича «Первый отдел» лойиҳаси эътибор қаратди.

Мессенжернинг ушбу заифлигидан фойдаланадиган зарарли дастур январь ойи ўрталаридан бери даркнет форумларида сотиляпти ва аллақачон жосуслик ва товламачилик учун ишлатилаётган бўлиши мумкин.

Ҳужум шундай кўриниши мумкин: тажовузкор жабрланувчига HTM-файлни юборади, Telegram уни адашиб видео файл каби қабул қилади. Бироқ, ўрнатилган видеоплеер уни ўйнамайди ва фойдаланувчи Telegram маслаҳатига амал қилиб, уни браузер орқали очади. Оқибатда, зарарли дастур ишга туширилади ва тажовузкор смартфонга жосуслик дастурлари ёки бошқа зарарли дастурларни ўрнатади.

«Первый отдел» бундай ҳужумлардан қандай ҳимоя қилиш бўйича тавсиялар беради:

- медиа файлларни автоматик юклаб олиш ва галереяда автоматик сақлашни ўчириб қўйиш: Созламалар → Маълумотлар ва хотира → Медиани автоматик юклаб олиш ва Галереяда сақлаш;

- смартфон созламаларида номаълум манбалардан иловаларни ўрнатишни тақиқлаш;

- номаълум жўнатувчилардан келган файлларни, ҳатто улар зарарсиз видео ёки фотосуратларга ўхшаса ҳам очмаслик;

- Telegram очмайдиган ва бошқа хизматларда очишни таклиф қиладиган файлларни очмаслик;

- Telegram иловасини мунтазам янгилаб бориш.