Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам.

Есть официальный домен — telegram.dog.

Вы зашли на него и увидели официальный сайт Telegram. Вы убедились, что этот сайт принадлежит Telegram. Он просто повторяет telegram.org, но домен выглядит круче!

Вы решили поделиться ссылкой на MacOS-клиент со своим другом, который давно хотел чем-нибудь заменить WhatsApp.



Ваш друг видит, что эта ссылка ведёт на сайт, жмёт на неё, и… попадает в пустой канал.



Но откуда взялись заголовок и описание с сайта, если ссылка привела вашего друга в канал?

Оказывается, telegram.dog работает странно. Если вы пользуетесь любым клиентом Telegram, за исключением веб (и иногда Android), то telegram.dog/%sample% будет вести к аккаунту с ником @%sample%.

Проблема возникает, если существует страница telegram.org/%sample%. Тогда Telegram «запутается» и покажет вам превью от официальной веб-страницы, хотя ссылка будет вести к каналу в Telegram.

Обе ссылки откроют канал @desktop

Вашему другу повезло, и он всего лишь попал на пустой канал, судя по всему, забытый сквоттером. Но вам могло не повезти.

Если бы вы отправили ссылку не на MacOS-клиент, а, допустим, на FAQ о каналах, ваш друг мог бы даже не понять, что что-то пошло не так.



Данный канал полностью повторяет контент веб-страницы, но к настоящим вопросам добавлены фейковые — например, что вы можете делиться со мной SMS-кодом от Telegram, или что вы можете сделать меня админом вашего канала, чтобы получить верификацию.

А ещё ваш друг на MacOS увидит, что канал верифицирован, если у него установлены SF Symbols. Ну как тут не довериться?

О багах
Багрепорт о telegram.dog был отправлен в сентябре 2019-го и был проигнорирован.
Telegram-канал @faq_channels был создан мной для демонстрации в багрепорте. В письме команде безопасности Telegram я указал, что они могут удалить этот канал, когда захотят.

Критический баг с подделкой верификации на MacOS-девайсах известен уже более недели.