Павел Дуров опроверг появление в Telegram уязвимости, позволяющей «убить» смартфон на расстоянии

Основатель Telegram Павел Дуров в беседе с vc.ru опроверг появление в мессенджере уязвимости, позволяющей «убить» смартфон собеседника при помощи сообщения определённой длины. Ранее о такой уязвимости сообщали иранские и российские СМИ, включая «Газету.ру».

Павел Дуров опроверг появление в Telegram уязвимости, позволяющей «убить» смартфон на расстоянии

17 июня «Газета.ру» со ссылкой на иранский ресурс Sad Ghaf сообщила о появлении уязвимости в мессенджере Telegram, которая якобы позволяла вызвать сбой в смартфоне собеседника, отправив ему сообщение размером, превышающим 4096 байт.

В ходе эксперимента исследователям, по их словам, удалось обойти ограничение сервиса и отправить сообщение длиной 30 КБ, что якобы привело к зависанию смартфона.

В беседе с vc.ru основатель мессенджера Павел Дуров сообщил, что максимальный размер сообщения в Telegram какое-то время составлял 35 килобайт (примерный объём небольшой фотографии). По его словам, это ограничение контролируется на сервере, и на момент написания этой заметки оно снова составляет 16 килобайт. Дуров утверждает, что ни приложение Telegram, ни сам телефон таким образом «повесить» невозможно.

Кроме того, по утверждению Дурова, в беседе с ним исследователи, сообщившие об уязвимости, не смогли предоставить подтверждение её существования.

Они вышли недавно после долгого молчания, но ничего вразумительного не смогли сообразить.

Серверное ограничение при отправке было всегда. У них исходящее сообщение выглядело большим только потому, что отправляющий клиент сразу его так отображал. С другого клиента у отправителя и у получателя это сообщение будет обрезанным.

А им казалось, что отправляют мегабайты. В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ, что ни на что не влияло (завесить так что-либо невозможно).

— Павел Дуров
5 комментариев

т.е. endtoend не работает, раз сервер обрезает?

2

Ох уж эти иранские хакеры...

1

Выше: это ограничение контролируется на сервере, и на момент написания этой заметки оно снова составляет 16 килобайт.
И ниже: В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ.
Т.е. по факту ребята нашли уязвимость, только не нашли для чего использовать?

1

Я нашел, не знаю что. Писал в поддержку - молчат. Кто-нибудь сталкивался с тем, что секретный чат сам собой отменяется?

Правильно, что отменили. Зачем секретный чат, если в этот момент ФСО уже выехала к тебе?

2