Redazione RHC : 6 Maggio 2024 10:21
Il ricercatore di sicurezza indipendente Pedro Baptista del team HackerHood di Red Hot Cyber, ha rilevato il 9 marzo 2024 una grave vulnerabilità su Telegram, che ha messo a rischio la sicurezza degli utenti utilizzatori della versione web della piattaforma.
Fortunatamente, Telegram ha risposto prontamente, correggendo il problema appena due giorni dopo.
La vulnerabilità, identificata con il codice CVE-2024–33905, era presente nella versione 2.0.0 (486) e precedenti di Telegram WebK. Coinvolgeva le cosiddette “Mini App” di Telegram, che permettono agli utenti di eseguire applicazioni web direttamente nell’interfaccia di messaggistica. Tuttavia, questa funzionalità si è rivelata essere una superficie d’attacco vulnerabile.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una Mini Web App dannosa poteva eseguire codice JavaScript arbitrario nel contesto principale di web.telegram.org, portando al dirottamento della sessione degli utenti. Questo exploit XSS (Cross-Site Scripting) è stato attivato utilizzando il tipo di evento web_app_open_link tramite postMessage.
L’attaccante avrebbe creato una Mini App con un URL dannoso, che sarebbe stato eseguito quando l’utente apriva la Mini App.
Il payload dannoso sfruttava il fatto che l’evento web_app_open_link apriva una nuova scheda con l’URL specificato, consentendo al codice JavaScript dannoso di rimanere nel contesto della finestra principale, compromettendo così la sessione dell’utente.
Fortunatamente, Telegram ha risolto prontamente il problema. L’11 marzo 2024, è stata rilasciata una patch che ha corretto la vulnerabilità. La patch ha introdotto una nuova funzione safeWindowOpen, che sostituiva la funzione precedente per gestire l’apertura di nuove schede.
Questa nuova funzione implementava misure di sicurezza aggiuntive, come l’utilizzo dell’argomento noreferrer, che impediva alla finestra appena aperta di rimandare l’intestazione Referer alla pagina originale. Inoltre, la nuova finestra è stata isolata dal contesto della finestra principale, inclusa la sua esecuzione JavaScript.
La risposta rapida e efficace di Telegram a questa vulnerabilità critica dimostra l’importanza di avere programmi di bug bounty robusti e di rispondere prontamente alle segnalazioni degli utenti. Tuttavia, questa scoperta solleva anche interrogativi più ampi sulla sicurezza delle applicazioni web e sulla necessità di continuare a sviluppare e implementare misure di sicurezza sempre più sofisticate per proteggere gli utenti da minacce sempre più complesse.
La sicurezza informatica è una sfida in continua evoluzione e richiede un impegno costante da parte di tutti gli attori coinvolti. Grazie alla collaborazione tra ricercatori di sicurezza e fornitori di servizi online, possiamo fare progressi significativi nella protezione delle informazioni e nella difesa contro le minacce digitali.
RedazioneIl 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
Jen-Hsun Huang, fondatore e CEO di Nvidia, ha rivelato che le recenti restrizioni all’esportazione hanno drasticamente ridotto la presenza dei chip AI dell’azienda in Cina, passando dal 95% a una ...
Il Giubileo 2025 a Roma rappresenta una sfida non solo per la gestione di milioni di pellegrini e turisti, ma anche per la protezione dello spazio aereo urbano. I droni, sempre più diffusi e accessib...
Il 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
