Dua peneliti keamanan asal Iran, Sadegh Ahmadzadegan dan Omid Ghaffarinia, telah menemukan sebuah bug dalam aplikasi Telegram yang memungkinkan mereka untuk melewati batas pesan minimum dan maksimum aplikasi dan mengirim pesan tak terlihat atau lebih dari ukuran teks sehingga memakan bandwidth yang besar. Kedua peneliti mengatakan mereka tidak bisa melaporkan masalah kerentanan tersebut ke Telegram karena mereka belum bisa mendapatkan kontak ke pengembang aplikasi. Dengan demikian, mereka tidak mengungkapkan rincian teknis yang terdapat pada aplikasi yang memungkinkan penyerang untuk mengeksploitasi kerentanan ini.


Ahmadzadegan dan Ghaffarinia menjelaskan kerentanan dalam batasan ukuran pesan pada Telegram, secara default panjang pesan minimum adalah satu byte (karakter) dan ukuran pesan maksimum hanya dibatasi hingga 4.096 byte. Namun pada kenyataanya kedua peneliti keamanan tersebut berhasil melewati batas yang telah ditentukan perusahaan sehingga mereka dapat mengirim pesan tanpa konten ke pengguna dan memicu munculnya pemberitahuan palsu dengan ukuran pesan yang sangat besar.

Yang terakhir memiliki potensi crash pada aplikasi, tetapi juga dapat menimbulkan pembengkakan biaya tagihan pengguna jika mereka menggunakan koneksi mobile mereka ketika serangan dimulai. Sebagai contoh mereka mampu menggunakan data sebesar 256 MB hingga 300 MB hanya dalam beberapa menit. Bug tersebut berbahaya karena pengguna Telegram memungkinkan mengirim pesan ke setiap pengguna aplikasi tanpa terkecuali, penyerang dapat menggunakan nomor telepon anonim, mengotomatisasi pesan, dan dapat memungkinkan terjadi serangan DoS pada ponsel.

 
Top