Недавно я начал разработку скриптов для абуза проектов, таких как Blum, Gamee, MemeFi и других. Я придумал собственный метод взаимодействия с этими ботами через специальную ссылку, которую можно получить непосредственно в боте. Эта ссылка позволяет использовать mini app в браузере, как будто вы находитесь в Telegram от своего аккаунта, не требуя реального доступа к аккаунту. Этот метод может быть использован злоумышленниками, чтобы получить доступ к конфиденциальным данным, активам (криптовалютам или фиатным деньгам), или игровым монеткам, которые затем можно вывести на свой кошелёк. И всё, что требуется от злоумышленника для получения этой ссылки — умение применять социальную инженерию. Ниже приведена инструкция по получению данной ссылки!
Инструкция:
1) Перейдите в желаемого бота.
2) Запустите mini app и, как только начнётся его открытие, сразу отключите интернет, чтобы mini app запустился, но не успел прогрузиться.
3) Появится ошибка с заветной ссылкой. Если ссылка не отобразилась, попробуйте без интернета нажать на три точки вверху и выбрать "Перезагрузить". Если ссылка всё равно не появилась, повторите этот шаг заново.
4) Скопируйте весь текст ошибки, затем вставьте его в любом чате и найдите нужную ссылку. Важно, чтобы ссылка была очень длинной!
5) Теперь вы можете открыть эту ссылку в браузере от имени того человека, который её получил.
️ Если вам удастся убедить жертву выполнить эти действия, взлом гарантирован на 100%. Придумать какую-то историю может каждый, так как этот метод обмана считается новым. В целом, я бы назвал это полноценной уязвимостью в Telegram. Ведь единственный способ получить доступ пока что — это использовать этот метод. Однако что, если кто-то пойдёт дальше и сможет генерировать такие ссылки без взаимодействия с жертвой вообще? Я бы назвал данную уязвимость "CVE-2024-DurovLove". Вы же не против? Среди проектов, в которых я смог получить доступ таким способом, есть Notcoin, MemeFi, Vertus, Hamster Kombat, LimeCoin, PixelTap, Catizen, Dotcoin, TapSwap, Bcoin 2048, а также такие популярные кошельки, как Wallet, Crypto Bot и xRocket. Около 80% ботов подвержены этой уязвимости!