В Telegram Mini Apps нашли уязвимость, которая может молча пиз... воровать ваши деньги, пока вы строчите комменты
Функция перехвата нажатия клавиш. Панель логов расположена справа
Пока в Telegram пилят полноценные AI-сервисы и нейросети внутри Mini Apps, специалисты по информационной безопасности откопали в мессенджере серьезную архитектурную уязвимость изоляции.
Теперь любой безобидный ИИ-ассистент, музыкальный плеер или мини-игра из каталога приложений может превратиться в тихого карманника. Причем шпионить за вами будут прямо в тот момент, когда вы общаетесь в обычном, казалось бы, доверенном чате с другом или коллегой в Telegram.
В чем соль уязвимости?
Из-за кривой изоляции контекста, запущенное в фоне мини-приложение может в любой момент начать втихую перехватывать нажатия вашей клавиатуры. Сообщение которое писали другу или подружке, теперь может оказаться у 3го лица.
Одна проблема, создаёт другую. Специалисты обнаружили, что эта же дыра позволяет Mini Apps шерудить в вашем буфере обмена без какого-либо спроса и системных уведомлений. Поэтому если вам отправят реквизиты дяди Коли, не удивляйтесь что деньги ушли какому то Степану.
Безопасники ТГ отреагировали на удивление бодро. Вектор официально признали уязвимостью безопасности и подтвердили, что проблема абсолютно реальна.
Правда, на данный момент баг касается только веб-версии Telegram, так что те, кто сидит строго с мобильных приложений, могут пока выдохнуть(наверное...).