Telegram Mini Apps เป็นฟีเจอร์หนึ่งบน Telegram ซึ่งเป็นเว็บแอปพลิเคชันที่ทำงานภายใน Telegram Messenger ซึ่ง Mini Apps เหล่านี้ยังมีคุณสมบัติอื่นๆ เช่น การอนุญาตสิทธิ์, การชำระเงิน ผ่าน Google Pay หรือ Apple Pay, การแจ้งเตือนแบบ Push และอื่น ๆ หากมีการเรียกใช้ Mini Web App ที่เป็นอันตราย ส่งผลให้ผู้ไม่ประสงค์ดีสามารถดำเนินการใช้งาน JavaScript อย่างอิสระในรูปแบบของ web.telegram.org และอาจทำการ Hijacking Session ของผู้ใช้ Telegram ได้
ช่องโหว่ XSS ถูกเรียกใช้ผ่าน Event Type ชื่อ web_app_open_link บน Post Message โดยตัว Event Type นี้ถูกออกแบบให้เปิดแท็บใหม่ด้วย URL ที่ให้ไว้ ซึ่งถูกส่งผ่านเป็น Argument ดังนั้นในกรณีนี้ผู้ไม่ประสงค์ดีจะสามารถใช้ JavaScript: Scheme เพื่อบันทึกเนื้อหาที่ถูกโจมตีภายใน JS ของ web.telegram.org เอาไว้ได้
ผู้ไม่ประสงค์ดีสามารถสร้าง Bot พร้อมกับ Mini App และกำหนดค่า URL สำหรับเว็บไซต์ที่เป็นอันตรายซึ่งจะมีช่องโหว่ฝังอยู่บนหน้าแรกของเว็บไซต์ เมื่อ Mini App นี้ถูกให้เป็นลิงก์แก่เหยื่อแล้วนั้น เว็บไซต์ที่เป็นอันตรายจะบันทึก Session ID ของเหยื่อไว้ใน Local Storage ของ JS ซึ่งช่วยให้ผู้ไม่ประสงค์ดีจะสามารถนำมาใช้ในการ Hijacking ได้
เพื่อแก้ไขช่องโหว่นี้ Telegram ได้เพิ่มโค้ดตามภาพด้านล่าง ซึ่งได้เพิ่ม URL ของ safeWindow และเพิ่ม Noreferrer Argument ในการเปิดแท็บ เพื่อป้องกันไม่ให้หน้าต่างที่เปิดขึ้นใหม่ทำการส่ง Referrer Header กลับไปยังหน้าเว็บเดิม ด้วยวิธีนี้ หน้าต่างใหม่จะถูกแยกจากหน้าต่าง Telegram เดิมควบคู่ไปกับการดำเนินการ JS
คำแนะนำ
- ควรอัปเดต Telegram Web App ให้เป็นเวอร์ชันล่าสุด
- ไม่ควรคลิกลิงก์ที่ไม่น่าเชื่อถือหรือไม่รู้จัก
- ควรเลี่ยงการเปิดใช้ Mini Apps ที่มีความเสี่ยงจากแหล่งที่ไม่น่าเชื่อถือหรือมาจากบุคคลที่ไม่รู้จัก
- ควรติดตามข่าวสารเกี่ยวกับการปรับปรุงและการแก้ไขช่องโหว่จาก Telegram
Ref: https://cybersecuritynews.com/telegram-web-app-xss-vulnerability-hijack-sessions/