研究者们发现黑客可以利用Telegram中的那个漏洞发送任意大小的邮件。

根据针对该未修复漏洞的概念证明,攻击者可以绕开限制,并且利用现在流行的加密通信应用程序发送任意大小的信息。

关于此次事件,已经有人联系了Telegram。

伊朗研究员Sad Ghaf为了防止有人利用该漏洞,并没有精确定位它,不过他表示他已经设法向Telegram报告漏洞了,但是没有成功。

Ghaf说,“由于程序错误,发件人可以控制信息的大小,并且可以发送任意长度的邮件。”

“另一边,不管邮件有多大,收件人都会接收到。”

Ghaf和他的同事成功发送了一个长达30000字节的信息,远超过程序限定的4096字节。他们还成功发送了一个0字节的信息,这也违反了信息至少要有1字节的程序规定。

不需要事先授权就可以发送任意信息给任何人,这就意味着攻击者可以借此消耗掉受害者的移动数据套餐,然后用垃圾数据塞满手机存储空间。

Ghaf表示,这个应用程序是伊朗最受欢迎的加密通信平台。