Независимый исследователь из Ирана Сад Гаф обнаружил в защищенном мессенджере Telegram любопытную уязвимость, позволяющую обойти установленное ограничение на количество символов в отправляемых сообщениях.
Об этом сообщает SecurityLab.
Telegram разрешает отправлять сообщения, содержащие от 1 до 4096 знаков. Обнаруженная Гафом программная ошибка позволяет обойти данное ограничение и отправлять сообщения произвольной длины. При этом адресат будет получать всю входящую корреспонденцию вне зависимости от ее размера, что может привести к отказу в обслуживании устройства при недостаточном количестве свободной памяти.
Проэксплуатировав ошибку, исследователь смог отправить два сообщения, одно из которых содержало 30 тыс. символов, а второе было пустым. По словам Гафа, злоумышленник может воспользоваться данной возможностью и отправить сообщения длиной в несколько миллионов знаков на устройство жертвы.
Гаф попытался связаться с администрацией Telegram, чтобы проинформировать об уязвимости, однако безуспешно. Поскольку в настоящее время ошибка остается неисправленной, эксперт отказался раскрывать подробности о ней. Тем не менее, Гаф опубликовал PoC-видео с демонстрацией атаки.Напомним, в феврале прошлого года в мессенджере была исправлена потенциальная уязвимость, позволявшая злоумышленнику имитировать активность в секретных чатах от имени пользователей.