Что это даёт злоумышленнику: Фоновое мини-приложение в любой момент может незаметно включить кейлоггер и перехватывать все нажатия клавиш пользователя. Кроме того, оно способно заблокировать ввод текста прямо внутри мессенджера — пользователь просто не сможет писать сообщения. Но и это не всё. Из-за той же уязвимости изоляции фоновое приложение умеет эмулировать действия жертвы и в обход стандартов W3C подменять содержимое буфера обмена (клиппер). 📱 Telegram | 🌐 ВК | 📲 MAX
В MiniApps Telegram обнаружена серьезная архитектурная уязвимость изоляции контекста...
Что это даёт злоумышленнику:
Фоновое мини-приложение в любой момент может незаметно включить кейлоггер и перехватывать все нажатия клавиш пользователя.
Кроме того, оно способно заблокировать ввод текста прямо внутри мессенджера — пользователь просто не сможет писать сообщения.
Но и это не всё. Из-за той же уязвимости изоляции фоновое приложение умеет эмулировать действия жертвы и в обход стандартов W3C подменять содержимое буфера обмена (клиппер).
