Согласно документу, злоумышленники могли влиять на порядок сообщений, поступающих на облачные серверы от клиента. Перемещая сообщения, они получали шанс добиться того, что смысл написанного менялся на противоположный. Также киберпреступники имели возможность определять способ шифрования сообщения. Исследователи отметили, что такая атака представляла для злоумышленников только «теоретический интерес».
Кроме того, специалисты выяснили, что клиенты мессенджера для Android, iOS и десктопные версии содержали код, который позволял расшифровывать переписки. Чтобы получить к ним доступ, мошенники должны отправить миллион тщательно подготовленных сообщений. Однако эксперты успокаивают: такую атаку невозможно осуществить на практике.
Коллектив исследователей пришел к выводу, что криптосистема Telegram не соответствует гарантиям безопасности. Они заявили, что этих уязвимостей можно было бы избежать при стандартном подходе, в частности, — использовании протокола Transport Layer Security (TLS).
Специалисты связались с представителями мессенджера и рассказали об обнаруженных ошибках в апреле 2021 года. В июле Telegram устранил уязвимости.
