2017-01-01 23:59:17
FALLA DI SICUREZZA: Dal file al creatore del file... è possibileIn data odierna è stata scoperta
una falla di sicurezza in Telegram, che permette di
ottenere l'ID del
creatore del file (da ora in poi per file intendiamo foto, video, GIF, sticker e documenti)
A cosa è dovuta questa falla?Per prima cosa bisogna fare
un passo indietro.
Sapevate che Telegram etichetta ogni
file con un
file id?
Questo file id è
unico e
globale in
tutto Telegram ed evita di dover occupare
spazio doppio sui server in caso di inoltri (se notate, quando inoltrate un file, esso non viene ricaricato ma viene instantaneamente inviato) oltre ad offrire un
validissimo strumento agli
sviluppatori dei bot, in modo che non debbano ogni volta salvare il file e ricaricarlo, ma basta ri-inviare il
file id e Telegram
automaticamente lo "trasforma" nel file desiderato. Ogni volta che si invia un file l'
ID utente del creatore del file (per foto/video/GIF/documenti è il primo che l'ha inviato, per gli sticker il creatore dello sticker pack) viene combinato con
altre informazioni per formare il
file id, che è una
stringa criptata lunga
56 caratteri.
C'è chi è riuscito a trovare l'
algoritmo per
decriptarla e ricavare
l'ID utente del
creatore del file. L'ID utente è un numero di
8 cifre che identifica
ogni utente su Telegram.
Tutto qui? Ma allora che problema c'è! E' solo un numero!Basta confrontare l'
ID utente preso con quelli
conosciuti per ricavare nome, cognome e username (impostati), e ci sono moltissimi
bot che fanno questo!
E pensaci, questo significa che possiamo ricavare i creatori di
canali e
sticker pack che magari
vogliono restare anonimi: basta ricavare l'ID di un
qualsiasi file inviato nel canale per risalire all'ID di chi lo ha
postato!
E' una falla
molto grave, e, rendendola pubblica, cerchiamo di
svegliare il
team di sviluppatori, in modo che la sistemino.
Ma noi utenti normali possiamo usufruire di questa funzione?Sì, come già detto, abbiamo intenzione di
attirare l'attenzione degli sviluppatori, rilasciando un
bot che, inoltrandogli un file, restituisce il
file id e l'
id del creatore del file, cercando inoltre, quando possibile, di
risolvere l'id per ricavare
nome e
username (se impostato). Il bot si chiama @FileTrackerBot ed è stato creato utilizzando le
API PWRTelegram (@pwrtelegram by @danogentili) che
vi consiglio di provare (se siete degli sviluppatori di bot).
Tramite quel bot siamo riusciti per giunta a ricavare
gli username di alcuni
sviluppatori di Telegram, che abbiamo già
contattato, ma sembra che ci stiano
ignorando...
5.2K views20:59