Приложение Telegram оказалось уязвимым и ставит под угрозу устройства его пользователей. Как оказалось, злоумышленники могут при помощи мессенджера отправить на устройство жертвы сообщение произвольной длины и заставить гаджет «подвиснуть» из-за переполнения оперативной памяти. Проблема усложняется тем, что Telegram позволяет принимать сообщения от любых контактов, даже если они не входят в его список.
Уязвимость была обнаружена независимыми исследователями из Ирана Садегом Ахмаджадеганом (Sadegh Ahmadzadegan) и Омидом Гаффариния (Omid Ghaffarinia), сообщает Cnews. Устройство начинает работать лишь после перезагрузки. Уязвимость находится в алгоритме проверки длины сообщения — в Telegram она не должна превышать 4096 байт. Из-за программной ошибки отправитель может получить контроль над длиной сообщения и отправлять сообщения любого размера. Авторы находки отправили в Telegram на мобильном устройстве сообщение длиной 30 кБ. При получении подобного сообщения устройство получателя может зависнуть или произойдет сбой в работе приложения.
Прием подобных сообщений может пагубно сказаться на расходах — пользователю придется оплатить их трафик. Это также может быстрее посадить батарею. Кроме того, можно опоздать из-за несработавшего будильника, который вместе с телефоном «подвис», или обнаружить, что телефон за ночь самостоятельно скачал десятки гигабайт данных.
Исследователи утверждают, что в Telegram пока уязвимость не исправили.