Иранские исследователи нашли баг, который «вешает» Telegram

Александр Панасенко 15 Июня 2016 - 12:01

...

Иранские исследователи нашли баг, который «вешает» Telegram

Два независимых исследователя из Ирана, Садег Ахмаджадеган (Sadegh Ahmadzadegan) и Омид Гаффариния (Omid Ghaffarinia), обнаружили баг в приложении Telegram, эксплуатация которого приводит к отказу обслуживания. Ошибка связана с минимальным и максимальным размером сообщений, и она пока не устранена, так как исследователям не удалось связаться с разработчиками мессенджера.

Ахмаджадеган и Гаффариния пишут, что проблема связана с ограничениями на размеры сообщений. Так, исследователям удалось выяснить, что минимальный размер сообщения равняется одному байту, тогда как максимальный ограничен 4096 байтам.

Обойдя эти лимиты, исследователи сумели реализовать два типа атак. При отправке пустого сообщения можно вызвать «холостое» срабатывание уведомлений, тогда как сообщение слишком большого размера может наглухо «подвесить» приложение и всю систему вообще. Большие сообщения также опасны тем, что вызывают повышенное потребление трафика, что может больно ударить по кошельку некоторых пользователей, передает xakep.ru.

В блоге исследователи опубликовали proof-of-concept видео, демонстрирующее атаки в действии. Им удалось потратить 256 из 300 оплаченных мегабайт пользовательского трафика за считанные минуты.

Стоит отметить, что пользователи Telegram могут получать сообщения не только от своего списка контактов, так что при желании злоумышленники могут довольно жестоко затроллить свою жертву. Атакующий может использовать анонимный номер, написать скрипт для автоматизации и устроить настоящую DoS-атаку на приложение своей жертвы. Как уже было сказано выше, помимо постоянных «падений» мессенджера или всей системы, это может привести к непредвиденным затратам на оплату трафика.

«Из-за этого вы можете проспать все на свете (потому что ваш телефон «подвис», и будильник не сработал :D), или обнаружить, что прошлой ночью ваш телефон страдал от бессонницы, потому что скачивал десятки гигабайт данных (то есть текстовых сообщений)», — пишут исследователи.

К сожалению, технических деталей о баге пока нет, так как исследователи не смогли связаться с разработчиками Telegram и сообщить им о проблеме. Как только ошибка будет устранена, иранский дуэт обещает обнародовать детали.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 21:29

Корпорации Системы защиты от несанкционированного доступа Постквантовая криптография Инфотекс

ИнфоТеКС представила квантовый генератор случайных чисел ViPNet QRNG

Компания «ИнфоТеКС» сообщила о расширении линейки квантовых криптографических систем ViPNet QCS. В неё вошёл новый продукт — ViPNet QRNG, квантовый генератор случайных чисел. Это устройство создаёт случайные последовательности не за счёт программных алгоритмов и не на базе обычных шумовых процессов, а с опорой на квантовые явления.

Именно это и считается его ключевой особенностью: такая генерация должна быть не псевдослучайной, а физически непредсказуемой.

Подобные последовательности нужны в самых разных задачах. В первую очередь — в криптографии, где случайные числа используются при создании секретных ключей для симметричных и асимметричных алгоритмов. Но область применения этим не ограничивается: такие решения могут использоваться и в исследовательских проектах, и в финансовой сфере, и в некоторых сценариях, связанных с ИИ.

Сам генератор выполнен в формфакторе M.2, то есть его можно встраивать в программно-аппаратные комплексы. По замыслу разработчика, устройство может применяться как альтернатива и программным генераторам случайных чисел, и более привычным аппаратным решениям, которые опираются на шумовые процессы.

В основе работы ViPNet QRNG лежит детектирование квазиоднофотонного излучения светодиода с последующей математической обработкой полученного сигнала. Источником такого излучения выступает полупроводниковый светодиод, работающий в непрерывном режиме. Это, как утверждает компания, позволяет повысить интенсивность поступления фотонов на детектор. При этом сам путь от источника излучения к фотодетектору сделан максимально коротким.

В компании отмечают, что при разработке устройства особое внимание уделялось не только самой генерации случайности, но и вопросам воспроизводимости характеристик и проверяемости качества получаемых последовательностей. Это важный момент: в криптографии мало просто заявить, что числа случайны, — нужно ещё подтвердить, что источник энтропии действительно даёт надёжный результат.

По словам представителей «ИнфоТеКС», новый генератор уже используется в некоторых продуктах ViPNet. Также предполагается, что его можно будет интегрировать и в решения других производителей СКЗИ.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!