Основатель Telegram Павел Дуров опроверг наличие уязвимости в мессенджере Telegram, позволяющей дистанционно «убить» любой смартфон. В комментариях ресурсу Vc Дуров заявил, что информация о бреши безопасности в приложении не соответствует действительности.
На прошлой неделе сообщалось, что в Telegram есть уязвимость, посредством которой злоумышленник может отправить на устройство жертвы сообщение произвольной длины и «подвесить» его вследствие переполнения оперативной памяти. Дефект обнаружили независимые исследователи из Ирана Садег Ахмаджадеган и Омид Гаффариния.
По их словам, проблема заключается в том, что пользователь Telegram принимает сообщения от любых контактов, даже если они не входят в его список. Уязвимость содержится в алгоритме проверки длины сообщения, чтобы пользователи не могли «спамить» друг другу. Длина сообщения в Telegram не должна превышать 4096 байт (при этом она также не может быть нулевой). Также существует ограничение на частоту отправки сообщений, но исследователи не уточнили, какое именно.
Павел Дуров заявил, что максимальный размер сообщения в Telegram какое-то время составлял 35 КБ (примерный объём небольшой фотографии). По его словам, это ограничение контролируется на сервере, и на момент написания этой заметки оно снова составляет 16 КБ. Дуров утверждает, что ни приложение Telegram, ни сам смартфон таким образом «убить» невозможно.
Кроме того, по словам Дурова, в беседе с ним Садег Ахмаджадеган и Омид Гаффариния не смогли предоставить подтверждение существования бреши. «Они вышли недавно после долгого молчания, но ничего вразумительного не смогли сообразить», – отметил он.
«Серверное ограничение при отправке было всегда. У них исходящее сообщение выглядело большим только потому, что отправляющий клиент сразу его так отображал. С другого клиента у отправителя и у получателя это сообщение будет обрезанным.
А им казалось, что отправляют мегабайты. В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ, что ни на что не влияло (завесить так что-либо невозможно)», – сказал Дуров.
