Иранские исследователи нашли баг, который «вешает» Telegram

Александр Панасенко 15 Июня 2016 - 12:01

...

Иранские исследователи нашли баг, который «вешает» Telegram

Два независимых исследователя из Ирана, Садег Ахмаджадеган (Sadegh Ahmadzadegan) и Омид Гаффариния (Omid Ghaffarinia), обнаружили баг в приложении Telegram, эксплуатация которого приводит к отказу обслуживания. Ошибка связана с минимальным и максимальным размером сообщений, и она пока не устранена, так как исследователям не удалось связаться с разработчиками мессенджера.

Ахмаджадеган и Гаффариния пишут, что проблема связана с ограничениями на размеры сообщений. Так, исследователям удалось выяснить, что минимальный размер сообщения равняется одному байту, тогда как максимальный ограничен 4096 байтам.

Обойдя эти лимиты, исследователи сумели реализовать два типа атак. При отправке пустого сообщения можно вызвать «холостое» срабатывание уведомлений, тогда как сообщение слишком большого размера может наглухо «подвесить» приложение и всю систему вообще. Большие сообщения также опасны тем, что вызывают повышенное потребление трафика, что может больно ударить по кошельку некоторых пользователей, передает xakep.ru.

В блоге исследователи опубликовали proof-of-concept видео, демонстрирующее атаки в действии. Им удалось потратить 256 из 300 оплаченных мегабайт пользовательского трафика за считанные минуты.

Стоит отметить, что пользователи Telegram могут получать сообщения не только от своего списка контактов, так что при желании злоумышленники могут довольно жестоко затроллить свою жертву. Атакующий может использовать анонимный номер, написать скрипт для автоматизации и устроить настоящую DoS-атаку на приложение своей жертвы. Как уже было сказано выше, помимо постоянных «падений» мессенджера или всей системы, это может привести к непредвиденным затратам на оплату трафика.

«Из-за этого вы можете проспать все на свете (потому что ваш телефон «подвис», и будильник не сработал :D), или обнаружить, что прошлой ночью ваш телефон страдал от бессонницы, потому что скачивал десятки гигабайт данных (то есть текстовых сообщений)», — пишут исследователи.

К сожалению, технических деталей о баге пока нет, так как исследователи не смогли связаться с разработчиками Telegram и сообщить им о проблеме. Как только ошибка будет устранена, иранский дуэт обещает обнародовать детали.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 11:23

iOS Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники превращают iPhone в кирпич через моды Telegram

В России появилась новая мошенническая схема, нацеленная на владельцев iPhone и iPad. Злоумышленники предлагают установить якобы «прокачанные» версии Telegram с дополнительными возможностями: встроенным VPN, анонимным номером, доступом к удалённым перепискам и даже бесплатным Premium. Но на деле всё заканчивается куда прозаичнее: устройство блокируют, а с владельца потом требуют деньги за разблокировку.

О новой схеме рассказали специалисты компании F6. По их данным, с 9 февраля по 5 марта 2026 года одна из групп, работающих по такому сценарию, похитила у пользователей в России почти 3 млн рублей.

Схема построена на актуальной повестке. На фоне замедления Telegram в России и разговоров о возможной блокировке мессенджера мошенники играют на тревоге пользователей, которые ищут способы сохранить доступ к сервису при любом развитии событий.

В качестве приманки используются так называемые моды Telegram — модифицированные версии приложения, которых нет в App Store. Пользователям обещают заманчивый набор функций: обход ограничений, режим инкогнито, просмотр удалённых сообщений, доступ к закрытым каналам и прочие «секретные возможности». Среди названий таких сборок фигурируют ToxicGram, DarkGram, HakoGram, HoloGram, AstroGram и Doxogram.

Дальше в ход идёт Telegram-бот. Он объясняет, что нужный мод нельзя установить из официального магазина, поэтому якобы нужно подключиться к другой учётной записи Apple. Мошенники называют это «передачей айклауда» и высылают инструкции: выйти из своего аккаунта и войти в чужой Apple ID по присланным логину и паролю.

И вот здесь для пользователя начинается самое неприятное. Как только устройство привязывается к подставному Apple ID, злоумышленники блокируют iPhone или iPad. После этого на экране оставляют контакты для связи, а дальше уже под видом «поддержки Apple» или неких специализированных сервисов начинают вымогать деньги за возврат доступа.

Причём многие жертвы даже не понимают, что общаются всё с теми же мошенниками, которые их и заблокировали. По данным F6, за разблокировку обычно требуют от 10 до 60 тысяч рублей. Сумма зависит от модели устройства. Чем дороже и новее гаджет, тем выше «тариф».

Средняя сумма списаний в этой схеме составила 11 837 рублей, но в компании подчёркивают, что реальные потери часто оказываются выше: многие переводят деньги злоумышленникам не одним платежом, а частями.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!