История одной XSS в Telegram

[v1000]

Получить удаленное выполнение кода (RCE) в версии Telegram на платформе Electron!

то есть самый безопасный мессенджер лучше запускать в виртуальной машине?

[dartraiden]

Electron-клиенты лучше вообще не запускать при наличии альтернативы. В случае с Telegram нативных клиентов полно.

[Slonser]

Полностью с вами согласен, к сожалению достаточное количество людей его использует. Так как он от официальной команды Telegram A.

[sumbooody]

Вроде Telegram Desktop не на electron сделан, не?

[Slonser]

Telegram Desktop написан на C++, вы правы. Но Telegram имеет несколько официальных клиентов. Один из них используют как раз Electron

[olegtsss]

Можно пожалуйста пояснить, что здесь:

javascript:alert%28%27Slonser%20was%20here%21%27%29%3B%2F%2F@github.com#;alert(10);://eow5kas78d0wlv0.m.pipedream.net%27 

[Zzzz9]

Предположительно "('Slonser was here!');// "

[Boilerplate]

Причина очень простая - в сложных системах есть куча мест, где такие ляпы можно совершить. И чем сложнее система, тем больше в ней потенциальных дыр и багов. И даже закрыв 95% таких ляпов, пытливые умы найдут оставшиеся 3% и будут их использовать / продавать / сообщать о них. Причем, если человек занимается таким поиском хотя бы в виде хобби, со временем такие места начинаешь замечать значительно быстрее.

[Harwest]

закрыв 95% таких ляпов, пытливые умы найдут оставшиеся 3%

Наверное оставшиеся 15%

[dopusteam]

Наверное, оставшиеся 5%?

[IDDQDesnik]

3%. А 2% вообще никто не найдет за время жизни системы.

[Boilerplate]

Вот, все именно так, 2% специально оставил на то, что не найдут)

[IPopovkin]

«Причина очень простая» - крупные компании сильно режут косты на тестировании и проверках на безопасность плюс проджектам срочна нужна эта фича на проде, что приводит к плохо проверенному коду в проде.

[karabas_b]

Это частный случай survivorship bias. Крутейшие конторы обычно делают очень известные продукты, в которых интересно, а часто и прибыльно искать уязвимости. В малоизвестном софте от малоизвестных контор может быть дичайшее количество дыр, но их никому не интересно искать, а если кто-то и нашел, то никому не интересно об этом читать. Если человек столкнулся с дырой в каком-нибудь "счетчике коров" фирмы "рога-и-копыта-софт", ему просто в голову не придет писать статью на хабр.

[event1]

Для меня такое (простейшие ляпы в крутейших конторах) всегда было загадкой (и остается).

Задача разработчика — реализовывать возможности и чинить ошибки. Продумывать возможные сценарии взлома вне задач и (очень часто) умений большинства разработчиков. Именно по-этому создаются специальные отделы безопасности и программы поощрения пользователей. Но все эти практики довольно новые (10-15 лет), по-этому многие конторы ещё не разобрались как организовать такую штуку и сколько надо закладывать в бюджет на это дело.

[karavan_750]

благодаря связям через знакомых, смог напрямую связаться с командой безопасности Telegram

А можете оказать содействие в такой связи? Обнаружил багу связанную с платными подписками на частные каналы.
22-го апреля 2023 г. мной был отправлен Bug Report на адрес security[at]telegram.org. В ответ тишина.

[lovermann]

Судя по статье, вы потратите очень много часов на переписки, чтобы получить свои 300-500 долларов...

[iroln]

Им некогда, они сторисы делают.

мной был отправлен Bug Report

"Я отправил Bug Report" — так лучше. :)

[karavan_750]

"Я отправил Bug Report" — так лучше.

Не спора ради, а красивого изложения мыслей для. Почему? :)

[iroln]

Страдательный залог в русском языке - это канцелярит. Лучше избавить свою речь и письмо от канцелярского стиля.

https://shkolakontenta.ru/chto-takoe-kanczelyarit-v-russkom-yazyke

[tommyangelo27]

Он и в других языках так звучит, но зачастую, именно так проще описывать свою работу — задачи решаются, отчёты генерируются, баги закрываются, спринты деплоятся.
Вроде и рассказал, но без имён/паролей/явок ?

[BugM]

Печально. И то что мало дали печально. И то что нет на официальном сайте фразы "Если дорожите своими переписками не используйте веб клиент" печально.

Вроде небольшая уязвимость, но для веб клиента мессенджера является критической на самом деле. Чет с ним с угоном клиента, там другие методы защиты есть. Но вот полный доступ к переписке это ужас.

[chervital]

Я правильно понимаю, что если не жать бездумно на любую ссылку, коротко мне присылают, то уязвимость становится не такой уж критичной?

[Format-X22]

В данном случае да, если, конечно, кто-нибудь не найдёт хранимую дырку, которая вызывает код при просмотре.

[karabas_b]

Проблема еще и в том, что в веб-клиенте очень неудачно реализован просмотр ссылок - нужно наехать стрелочкой на ссылку и подождать несколько секунд, тогда возле стрелочки всплывает форма с адресом ссылки. Большинство людей просто не знает о такой фиче, никто ниче не ждет, просто кликают и все. Почему нельзя сделать, чтобы адрес ссылки при hover всплывал моментально? Если кажется, что оно будет мешать и отвлекать, можно же эту форму лепить не возле стрелочки мышки, а в левом нижнем углу, например, как это делают почти все браузеры.

[kubk]

Вы нашли серьёзную уязвимость. Однако эта уязвимость в веб-клиенте, который разрабатывает 1 человек: https://github.com/Ajaxy/telegram-tt/commit/a8d025395bc0032d964c2afc8c4fb5d2fa631a44

Думаю поэтому вознаграждение оказалось ниже ожидаемого. Надеюсь эта ситуация подтолкнёт команду Телеграм тщательнее проверять их код на уязвимости.

[Slonser]

Уязвимость работала и в версии Telegram A и в версии Telegram K. Для версии K, её сразу же пофиксили на стороне бекенда

[DerRotBaron]

У телеги это обычная история, в tdesktop коммиты публикуются от 2 человек, в Android-клиент вообще от одного, но там один коммит соответствует одному релизу, так что открытость процесса разработки околонулевая

[cathome_official]

Помню у vk был XSS, за который они решили не платить т.к. "пользователь сам активирует уязвимость нажимая на ссылку"
потом этой XSS была заполнена половина VK

[xenon]

Они решили и не платить и не фиксить? как бы, одним ударом решить две проблемы?

[Houl]

500 Евро... Пфф... Мне после нахождения уязвимости в ViPNet вообще звонили и говорили, что "ай яй яй так больше не делай!" :)

[xenon]

Есть одна известная сеть фотостудий. И у нее есть дырка - можно выкачивать чужие фотки. (Чтоб не было скучно читать дальше, давайте скажу, что они еще и эро-сессии делают, ну типа красивая девушка, сделала фотки себе в соцсети, ну и для мужа-любовника пару особенных).
Написал.... ответа до сих пор нет. Никаких денег не просил, просто спросил - к кому обратиться, кому рассказать про это?
И вот как поступать дальше? Просто забить?

[Slonser]

Если у них нет программу дисклоуза или багбаунти - да. Тут можно спасибо говорить на том моменте, когда на вас в суд уже не подали)

[TotalAMD]

А можно ведь было начать карьеру на порнолабе )

[neowisard]

Я понимаю что whitehat более , мм, идеологичны что ли, но почему бы хотя бы для интереса не выставлять баг на других форумах что бы узнать сколько стоит такой бак в dark zone. да и вообще ценный ли это баг.

Вы бы поняли почем печенька с тёмной стороны, ))

p.s. скорее всего выставив простой багаж типа xss в телеге его найдут за пару дней и опубликуют весь POC.

[Slonser]

Даже простое выставление бага на такие платформы может нести риск для пользователей. (Так как заставить активно ресерчить на этот тип уязвимости приложение). Лично мои морально-этические устои такого делать не позволяют.

[greenTransistor]

Наверное, потому, что "мировое сообщество" - не монолит, а много конкурирующих субъектов, и пока одни будут тратить дополнительные усилия и время на то, чтобы использовать только на 100% надежные блоки кода (и то при условии доверия к надежности CPU, OS, libc и кучи зависимостей), другие в пару кликов состяпают поделие на Wordpress не самой свежей версии, и даже если 95% таковых загнутся от атак, оставшихся 5% хватит, чтобы занять рынок и выиграть конкуренцию благодаря меньшим издержкам и большей скорости внедрения изменений.

[iBljad]

Потому что всё обычно заканчивается этим

[re-alter]

26 июня - благодаря связям через знакомых, смог напрямую связаться с командой безопасности Telegram.

А чем была вызвана такая спешка? С момента отправки отчёта прошло 9 дней, а временные рамки для ответа со стороны Телеграма вообще не указаны. В любом случае, для компании, которая пяткой в грудь себя бьёт и заявляет, что почти 10 лет уже держит багбаунти-программу, такой уровень - это прямо очень плохо.

Находка клёвая, ты молодец, и спасибо что поделился информацией.

[Slonser]

Спасибо за лестный отзыв! Спешка была вызвана тем, что багу зафиксили, но я не увидел даже сообщения вида "Ваш отчет принят к рассмотрению", просто тишина.

[re-alter]

Понимаю, всегда неприятно с таким сталкиваться.

[greabock]

XXXX - 500. Чотанисходица --_--

[Slonser]

Вы попались на уловку :)

[kachora]

Т.е. даже двухфакторная аути-ция не поможет если пользоваться веб-клиентом? Как вообще можно себя обезопасить в таких случаях помимо открытия ссылок?

[Cherezzabo]

По-умолчанию не доверять никакой ссылке, копировать ее сначала в буфер обмена, вставлять в текстовый редактор, изучать ее на предмет подозрительных элементов и, только убедившись, что в ней нет ничего подозрительного, открывать ссылку вручную в браузере.

[kachora]

Спасибо.

[Cherezzabo]

Статья интересная, спасибо за подробное описание "раскопок" )

[13werwolf13]

мб я не прав.. но
возможно маленькая сумма означает что проблема уже была известна и исправление уже было на подходе, а это просто подачка из разряда "ну он старался, давайте ему хоть сколько нибудь заплатим"

[Phvntxm]

Зарегал акк чтоб поделиться опытом. Мне такую же сумму заплатили, но баг был с приватным чатом и доступом к его контенту. Сейчас сравниваю уязвимость, действительно, как-то маловато заплатили. А отвечали они всегда по истечению трёх дней. Странно что кому-то вообще не отвечают.

[Slonser]

Спасибо за информацию! Мне написало несколько человек уже, опыт у всех прям разный. Один человек ждал 2 месяца)

[lexus1990]

"Читать все сообщения пользователя, а также отправлять сообщения от его имени" и "Прочитать сообщения с кодами для входа в Telegram, которые приходят в приложение" - я правильно вас понял, что отправку конфиденциальной информации так же через сам telegram можно было сделать? Например, начав переписку от имени жертвы с самим злоумышленником?

[Slonser]

Да, все верно.

[ne555]

Жду ваших комментариев!

Вы в комментариях отметились вот в этой смежной статье, цитата:
"""
Хорошая статья! Я как автор того злополучного XSS, хочу отметить, что уязвимостей за эти годы было на самом деле больше. Telegram заставляет подписать NDA, если ты получаешь от них деньги. По данному соглашению, ты не имеешь права рассказывать о уязвимости, сколько бы времени не прошло (Другие вендоры обычно разрешают делать это спустя 90 дней). Поэтому все что всплыло - лишь верхушка айсберга.
"""

В вашей статье (спасибо, интересный материал!) и в комментах не увидел ничего про NDA. Но вы довольно подробно описали всю ситуацию с багой. Вас не просили подписывать NDA или порешали вопрос с ТП?

[Slonser]

Спасибо за лестный отзыв! Telegram просит подписать NDA при получении денежных средств, чего я делать не стал.