Телеграм.пёс, или как не нужно делать зеркала

wxbnn3pvj5j5lchxbe_nduifjfc.png
Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.
Есть официальный домен — telegram.dog.
Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!

Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.

liyv9x_jzj4f-fqieutjq3gp-vu.png

Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.

7s-8ghgyc1atantimxg2ocqnmzg.png

Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?

Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.

Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.

9ii5lng0adx8a-drniukzeusxrm.jpegОбе ссылки откроют канал @desktop

Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.

Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на FAQ о каналах, ваш друг мог бы даже не понять, что что-то пошло не так.

yzh8bbwunlyxeawtp_ka_uhtht4.png

Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.

А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?

О багах
Багрепорт о telegram.dog был отправлен в сентябре 2019-го и был проигнорирован.
Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.

Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.

© Habrahabr.ru