ИБ-энтузиаст из России сообщил о критической уязвимости в мессенджере Telegram, которая, по его мнению, могла бы позволить получить доступ к аккаунтам пользователей даже без облачного пароля и двухфакторной аутентификации. Проблема якобы возникала при авторизации через Telegram-виджет на сторонних сайтах, особенно во встроенном браузере мессенджера.
По утверждению исследователя, такие авторизации могли создавать сессии с повышенными правами, оставаясь незамеченными для владельцев аккаунтов. В качестве мер защиты он рекомендовал пользователям очистить историю встроенного браузера Telegram, завершить все подозрительные веб-сессии, удалить куки и перепроверить список подключённых сайтов и ботов. В некоторых случаях советовал даже пересоздать аккаунт.
Однако Telegram официально опроверг наличие уязвимости. В ответе на репорт специалисты компании объяснили, что автор исследования неправильно интерпретировал механизм различных типов авторизаций. По данным Telegram, токен авторизации в виджетах не связан с полноценными сессиями Telegram Web и не может использоваться для доступа к переписке или данным аккаунта.
Компания подчеркнула, что авторизация через виджеты создает ограниченные сессии, предназначенные только для взаимодействия с конкретными сайтами – например, для голосования или комментирования. Такие сессии отображаются в разделе настроек устройств и сопровождаются уведомлением в Telegram, где пользователь может немедленно прекратить их.
В Telegram добавили, что данные, передаваемые через Login Widget, включают только публичную информацию профиля (имя, юзернейм, фото) и никогда не предоставляют доступ к личным сообщениям или звонкам, включая секретные чаты.
Кроме того, все сессии, включая виджетные, могут быть удалены пользователем вручную в настройках. Новых изменений в системе авторизации за последнее время не было, а сама архитектура системы осталась прежней.
Telegram отдельно отметил, что для захвата веб-сессии или получения доступа к токену авторизации злоумышленнику потребовался бы физический доступ к устройству или браузеру пользователя.
Таким образом, официальная позиция компании сводится к тому, что заявленная уязвимость отсутствует, а функционирование виджетов соответствует изначально заявленной модели безопасности.