Телеграм.пёс, или как не нужно делать зеркала



    Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.

    Есть официальный домен — telegram.dog.

    Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!

    Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.



    Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.



    Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?

    Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.

    Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.

    Обе ссылки откроют канал @desktop

    Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.

    Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на FAQ о каналах, ваш друг мог бы даже не понять, что что-то пошло не так.



    Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.

    А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?

    О багах
    Багрепорт о telegram.dog был отправлен в сентябре 2019-го и был проигнорирован.
    Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.

    Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.

    Комментарии 12

      +5
      > Есть официальный домен — telegram.dog.
      Нет. Это не официальный сайт телеграма. Дальше можно просто не читать.

      > Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!
      Как вы в этом убедились? Мне правда интересно. Из каких признаков вы сделали этот вывож?
        +6
        Это не официальный сайт телеграма.


        Официальный. Он принадлежит Telegram и упоминается в официальном верифицированном канале, на telegram.org и на core.telegram.org для разработчиков.
          0
          Хм, принято, погорячился.
          Но это скорее зеркало, причём которое упоминается далеко не везде.
            0
            Очевидно, да.

            Насколько я понимаю, та же история со многими другими зеркалами — tx.me, telegram.space, telegram.works и даже durov.com — и они все работают по-разному
        0
        Сейчас зашёл на «telegram.dog/apps», выбрал Telegram for macOS,
        перекидывает на «macos.telegram.org» — эту ссылку и отправляйте другу.
        Или они уже пофиксили?
          0

          Первая ссылка в вашем комментарии перекидывает на @apps

            0
            Я в браузере открыл «telegram.dog» далее спокойно перешёл по ссылке «telegram.dog/apps», далее «macos.telegram.org», последнюю ссылку и отправляю другу.
            Притом, как ниже написали, без установленного клиента (а мы ведь говорим о ситуации, когда приглашаем человека пересесть на этот мессенджер) никак не может открыться в клиенте @apps
            Следовательно проблема есть у пользователей с установленным клиентом, при открытии в нём ссылок типа telegram.dog/apps.
            Да, с «FAQ о каналах» есть проблема, ссылается на фэйковый канал.
            0

            Не совсем. Прямо сейчас на Android устройстве нажал на первую ссылку в вашем комментарии и тут же открылся телеграмм, но с сообщением, мол apps username не существует.


            Что-то ещё там не так, очевидно

              0
              Да, я позже написал, что переходил с главной страницы сайта, нажав Apps. При этом на андроиде не открылся телеграм.
              0
              Да, из /apps открывается macos.telegram.org, но с telegram.dog — telegram.dog/macos:
                0
                Действительно. Им следует переделать эти ссылки на страницы сайта на поддомены.
              +1
              1. Вы хотите помочь пересесть другу с ватсапа на телеграмм
              2. Вы даете ссылку другу на скачивание клиента для «какая-то платформа»
              3. Он, кликая на Вашу ссылку, открывает ее в телеграмм клиенте? О.о который, предполагается, должен был скачивать

              Проблема существует (на сколько я понял из статьи) для людей у которых клиент уже установлен

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое