Экспертами Angara SOC в мессенджере Telegram обнаружена уязвимость, позволяющая злоумышленникам получить доступ к аккаунту, эксплуатируя ошибку при работе с API.
API (интерфейс прикладного программирования) в Telegram – это программный интерфейс, который позволяет разработчикам взаимодействовать с мессенджером и создавать сторонние приложения, ботов и сервисы. Telegram предоставляет два ключевых типа API:Эксплуатируя данную уязвимость, мошенники могут приобрести номер, заранее создать API и привязать их к номеру телефона. После чего отказаться от номера и подождать, когда он вернется в продажу. Соответственно, пользователь, регистрирующий новый аккаунт, рискует лишиться к нему доступа.Telegram пока не закрыл эту уязвимость, и функции удаления API-значений нет.Telegram Bot API – используется для создания и управления ботами.
Telegram API (MTProto) – предназначено для создания альтернативных клиентов и автоматизации работы с аккаунтами.
API неразрывно связан с номером телефона пользователя, так как Telegram использует MTProto-протокол, который требует аутентификации через SMS или сессионный ключ.
Если злоумышленники получают хеш API и идентификатор API, они смогут подключиться к имени аккаунта пользователя, управлять его сообщениями и выполнять действия от него.
