Официальный Телеграмм веб-клиент, который позволяет пользователям получить доступ к учетной записи мессенджера через веб-браузер уязвима для ClickJacking.
Египетский исследователь безопасности Мохамед А. Baset рассказал о найденной уязвимости в телеграмме, которая может позволить злоумышленнику изменить конфиденциальную информацию пользователя, телеграмм, в том числе пароль и восстановления электронной почты.
"Telegram web client is not protecting itself from clickjacking with the typical X-Frame-Options header but uses a JS frame busting technique to prevent the website to be iframed," Mohamed says.
Тем не менее, за счет использования одной из функции HTML5, Мохаммед смог открыть страницу настроек Телеграмма для учетной записи с песочницы IFRAME, чтобы предотвратить перенаправление на главную окна.
"I sent [bug report] it to them [Telegram team] but haven't got any reply or even an automated one (4 days ago)," Mohamed told The Hacker News.
No comments:
Post a Comment