Телеграм.пёс, или как не нужно делать зеркала
Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.
Есть официальный домен — telegram.dog.
Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!
Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.
Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.
Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?
Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.
Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.
Обе ссылки откроют канал @desktop
Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.
Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на FAQ о каналах, ваш друг мог бы даже не понять, что что-то пошло не так.
Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.
А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?
Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.
Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.