Уязвимость в Telegram приводит к раскрытию номера телефона и геолокации
Довольно давно Телеграм перестал быть просто мессенджером, а стал полноценной платформой, через которую люди обмениваются сообщениями, сотрудники общаются в бизнес чатах, компании принимают заказы через телеграм ботов.
Вероятно, некоторые из вас по тем или иным соображениям уже пробовали создать своего бога и, наверное, знаете что функционал подразумевает возможность запроса номера посредством специальной кнопки. При этом, текст на такой кнопке можно задать абсолютно любой.
Безусловно, после нажатия кнопки пользователю выдастся предупреждение, после чего владелец бота получит контакт. Данное сообщение довольно явно намекает о деаномизации и предупреждает о возможной опрометчивости действий.
Однако, данное уведомление можно заменить не меняя функционал, например на алерт о смене языка приложения через translations.telegram.org, которое воспринимается куда менее пугающе.
После согласия в данной последовательности действий номер телефона успешно утекает ко владельцу бота.