Павел Дуров опроверг появление в Telegram уязвимости, позволяющей «убить» смартфон на расстоянии Статьи редакции

Основатель Telegram Павел Дуров в беседе с vc.ru опроверг появление в мессенджере уязвимости, позволяющей «убить» смартфон собеседника при помощи сообщения определённой длины. Ранее о такой уязвимости сообщали иранские и российские СМИ, включая «Газету.ру».

17 июня «Газета.ру» со ссылкой на иранский ресурс Sad Ghaf сообщила о появлении уязвимости в мессенджере Telegram, которая якобы позволяла вызвать сбой в смартфоне собеседника, отправив ему сообщение размером, превышающим 4096 байт.

В ходе эксперимента исследователям, по их словам, удалось обойти ограничение сервиса и отправить сообщение длиной 30 КБ, что якобы привело к зависанию смартфона.

В беседе с vc.ru основатель мессенджера Павел Дуров сообщил, что максимальный размер сообщения в Telegram какое-то время составлял 35 килобайт (примерный объём небольшой фотографии). По его словам, это ограничение контролируется на сервере, и на момент написания этой заметки оно снова составляет 16 килобайт. Дуров утверждает, что ни приложение Telegram, ни сам телефон таким образом «повесить» невозможно.

Кроме того, по утверждению Дурова, в беседе с ним исследователи, сообщившие об уязвимости, не смогли предоставить подтверждение её существования.

Они вышли недавно после долгого молчания, но ничего вразумительного не смогли сообразить.

Серверное ограничение при отправке было всегда. У них исходящее сообщение выглядело большим только потому, что отправляющий клиент сразу его так отображал. С другого клиента у отправителя и у получателя это сообщение будет обрезанным.

А им казалось, что отправляют мегабайты. В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ, что ни на что не влияло (завесить так что-либо невозможно).

— Павел Дуров
0
5 комментариев
Gi Gi

т.е. endtoend не работает, раз сервер обрезает?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Юрий Ковалёв

Ох уж эти иранские хакеры...

Ответить
Развернуть ветку
Денис Бабич

Выше: это ограничение контролируется на сервере, и на момент написания этой заметки оно снова составляет 16 килобайт.
И ниже: В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ.
Т.е. по факту ребята нашли уязвимость, только не нашли для чего использовать?

Ответить
Развернуть ветку
Александр Раскаманов

Я нашел, не знаю что. Писал в поддержку - молчат. Кто-нибудь сталкивался с тем, что секретный чат сам собой отменяется?

Ответить
Развернуть ветку
Alexandr Fisher

Правильно, что отменили. Зачем секретный чат, если в этот момент ФСО уже выехала к тебе?

Ответить
Развернуть ветку
Читать все 5 комментариев
null