Перехват сессии Телеги через веб-приложение в один клик.
Это техническое описание критической уязвимости.
Телеграм исправил уязвимость 11 марта 2024 года.
Уязвимая версия: Telegram WebK 2.0.0 (486) и ниже
Исправленная версия: Telegram WebK 2.0.0 (488)
CVE пока не назначен.
Проведение атаки
Мини-апы Телеграма
«Мини-приложения Telegram — это, по сути, веб-приложения, которые вы можете запускать непосредственно в интерфейсе мессенджера Telegram. Мини-приложения поддерживают простую авторизацию, интегрированные криптовалютные и фиатные платежи (через Google Pay и Apple Pay), индивидуальные push-уведомления и многое другое».
Возможная атака может также затронуть пользователей Web3, через который обрабатываются криптоплатежи в блокчейне TON.
Описание уязвимости
Вредоносное мини-приложение может выполнять произвольный JavaScript через web.telegram.org, что приводит к перехвату сеанса. XSS-уязвимость активируется с использованием типа события web_app_open_link через postMessage.
файлы
Уязвимость содержится в следующей строке:
Источник: @bratvacorp (xss*/threads/113351/post-796082)
https://medium.com/@pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
Следующий пост демо эксплойта
Это техническое описание критической уязвимости.
Телеграм исправил уязвимость 11 марта 2024 года.
Уязвимая версия: Telegram WebK 2.0.0 (486) и ниже
Исправленная версия: Telegram WebK 2.0.0 (488)
CVE пока не назначен.
Проведение атаки
Мини-апы Телеграма
«Мини-приложения Telegram — это, по сути, веб-приложения, которые вы можете запускать непосредственно в интерфейсе мессенджера Telegram. Мини-приложения поддерживают простую авторизацию, интегрированные криптовалютные и фиатные платежи (через Google Pay и Apple Pay), индивидуальные push-уведомления и многое другое».
Возможная атака может также затронуть пользователей Web3, через который обрабатываются криптоплатежи в блокчейне TON.
https://ton.org/mini-apps
https://core.telegram.org/bots/webapps
Описание уязвимости
Вредоносное мини-приложение может выполнять произвольный JavaScript через web.telegram.org, что приводит к перехвату сеанса. XSS-уязвимость активируется с использованием типа события web_app_open_link через postMessage.
файлы
Это кэшированная версия уязвимого файла:
https://web.telegram.org/k/appDialogsManager-aLs9GOvc.js
https://web.telegram.org/src/components/popups/webApp.ts (теперь 404 из-за поча)Уязвимость содержится в следующей строке:
telegramWebView.addMultipleEventsListeners({
// [...]
web_app_open_link:({url:t})=>{window.open(t,"_blank")}
}Источник: @bratvacorp (xss*/threads/113351/post-796082)
https://medium.com/@pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
Следующий пост демо эксплойта