Ranjivost koja omogućava hakeru da otme sesiju korisnika Telegrama putem XSS-a (Cross-Site Scripting).
Ova ranjivost postoji u Telegram WebK verzijama ispod 2.0.0.
CVE za ovu ranjivost tek treba biti dodijeljen. Međutim, Telegram je brzo reagovao na ovu ranjivost i zakrpio je u skladu s tim. Ova ranjivost takođe pogađa web3 korisnike.
Tehnička analiza
Telegram ima zanimljivu funkciju pod nazivom Telegram Mini Apps, a to su web aplikacije koje se mogu pokrenuti unutar Telegram Messenger interfejsa.
Ove Mini aplikacije takođe imaju druge funkcije kao što su besprijekorna autorizacija, integrisani kripto i fiat plaćanja preko Google Pay-a ili Apple Pay-a, Push obavještenja i mnogo drugih.
Zlonamjerna Mini Web aplikacija može izvršiti proizvoljno izvršavanje JavaScripta pod utiskom web.telegram.org, potencijalno omogućavajući bilo kakvu otmicu sesije bilo kojeg korisnika Telegrama.
Istraživač je rekao da se ova XSS ranjivost pokreće putem tipa događaja web_app_open_link putem poruke.
Ovaj tip događaja je dizajniran za otvaranje nove kartice sa navedenim URL-om, koji se prosljeđuje kao argument. U ovom slučaju, haker može koristiti javascript: šemu da sačuva eksploatisani sadržaj unutar JS web.telegram.org, iako otvara novu URL karticu.
Haker može da kreira Bot+Mini aplikaciju i konfiguriše URL za zlonamjernu web lokaciju, sa eksploatacijom ugrađenom na početnoj stranici.
Kada se ova Mini aplikacija obezbijedi kao veza ka drugom korisniku i klikne na nju, eksploatacija na zlonamjernom web-sajtu čuva ID sesije žrtve u JS lokalnoj memoriji, koju haker onda može da koristi da otme korisnikovu sesiju.
.webp)
.webp)
Kako se Telegram zakrpio?
Da bi zakrpio ovu ranjivost, Telegram je dodao kod u nastavku koji dodaje URL safeWindov i dodaje argument noreferrer otvaranju kartice koji može spriječiti da novootvoreni prozor pošalje zaglavlje Referer nazad na originalnu stranicu.
Ovim je novi prozor izolovan od originalnog prozora Telegrama pored JS izvršenja.
.webp)
Da bi sprečili iskorištavanje ove ranjivosti, korisnicima Telegram WebK 2.0.0 (486) se preporučuje da nadograde na najnoviju verziju Telegram WebK 2.0.0 (488).
Izvor: CyberSecurityNews
