Пример как перехватить сессию Telegram для авторизации на стороннем сервисе. Есть пару условий которые нужно чтобы они соблюдались. 1. Быть зарегистрированым на сайте где используется авторизация TelegramAuth. 2. Пройти по ссылке "злоумышленника". 3. Подтвердить push уведомление в Telegram. #КиберзащитаРФ www.attacking.ru
«Пасхалка» в Telegram. Как я нашел способ авторизоваться без клауд-пароля и уведомлений #статьи #подписчикам
Разработчики Telegram не сидят без дела: в мессенджере с каждым годом все больше функций. Но некоторые из них, если перефразировать «Собачье сердце», могут превратиться «из классной фичи в мерзкий баг». Этот материал — о любопытной уязвимости, с которой я столкнулся, расследуя, как украли 200 миллионов рублей в крипте зимой 2025 года.
Внутри 3 части: – АИ на предприятии: Опыт семи передовых компаний – Практическое руководство по созданию агентов ИИ: Что агенты АИ могут сделать для ваших сотрудников? – Определение и масштабирование сценариев применения АИ: На чём концентрируются компании, первыми внедрившие АИ
Я полистал и там внутри много вещей на которых лично я набивал шишки в практике с GenAI, очень рекомендую корпоративным менеджерам
19.04.202514:40
Как просмотреть историю браузера в ТГ(она отдельная от твоего браузера):
Открыть браузер(перейдя например по ссылке внутри самого ТГ) -- нажать кнопку бургер(справа вверху) -- "история" и узнать много нового о себе😁
Можно нажать "настройки" и очистить всю историю или выключить вовсе встроенный браузер.
20.04.202509:07
Христос воскрес!🥰
23.04.202519:04
Your document describes an Android-specific visual glitch due to which the widget session details screen on Android was showing the same interface as regular client sessions – including settings for “accepting calls” and “accepting secret chats”. These settings have never worked for the widget session because of its completely different nature, which is described above. This visual glitch has been corrected as of Saturday, April 19th.
This is a regular Telegram session. A seamless transition may happen under certain conditions inside a mobile browser. This session is visible and managed under Settings > Devices.
Intercepting a token from a new Telegram Web session would require access to the victim’s device or browser. At that point, the attacker would already control the environment and would have access to user data across all apps or websites (without the need to steal session tokens). This would constitute a full compromise scenario for all apps on the device or all websites in the browser, not a vulnerability in Telegram Web.
Furthermore, contrary to what you describe in your document, logging into a Telegram Web session, regardless of the method used, always generates a prominent notification at the top of the user’s chat list: “Someone just got access to your messages!” – with options to terminate the new session immediately. Additionally, this generates a notification in the user's system notifications chat on Telegram.
For maximum clarity, web sessions are completely unrelated to Login and Discussion Widgets, the login token from a widget cannot be used to access a Telegram Web session.
Each of these separate authentication flows are working properly and none of them constitute a vulnerability. As you can see, the reasoning in your article has fundamental issues due the misunderstandings described above. There is no way to silently create a session that would allow a user's messages or account to be accessed. There is no way to intercept a Telegram Web token without first compromising the device or browser, which would be a game-over scenario against which no app or website can protect.
Thank you again for looking into how Telegram works and reaching out with your ideas.
Best, The Telegram Team
=====
Спасибо за ваше обращение. Наша команда тщательно изучила ваше исследование. К сожалению, из-за неправильной интерпретации того, как различные типы независимых авторизаций работают в Telegram, в нем приведены неверные заключения.
Ваше предположение относительно “общего токена”, который используется во всех видах авторизации, некорректно: в веб-версии невозможно авторизоваться, используя токен Login Widget. Также невозможно перехватить токен авторизации веб-версии – это потребовало бы прямой доступ к устройству или браузеру пользователя.
Наконец, все сессии, которые дают доступ к чатам и аккаунту пользователя (например, сессия в веб-версии), отображаются в списке сессий в Настройках > раздел Устройства, а при появлении такой сессии пользователю показывается уведомление вверху списка чатов. Эти уведомления отправляются на все устройства, где авторизован пользователь, и не могут быть скрыты удаленно.
В описанных процессах нет уязвимостей и каждый из них работает корректно. Для максимальной ясности мы подробнее расскажем о различных типах авторизации и том, как они работают.
Авторизация этого типа не дает доступа к аккаунту пользователя в Telegram. Клиенты Telegram не хранят информацию о таких авторизациях, а пользователи могут сбросить авторизацию непосредственно на той платформе, где авторизовались.
Авторизация на платформах Telegram никогда не предоставляет доступ к сообщениям или учетным записям авторизовавшихся пользователей.
2. Виджеты
2.1 Общее поведение виджетов (например, Discussion Widget):
При авторизации через любой виджет в Telegram создается сессия со строго ограниченными правами.
23.04.202519:04
Авторизация через виджеты не создает полноценную MTProto-сессию и не авторизовывает пользователя в клиенте Telegram. Она никогда не предоставляет доступ к чатам пользователя и не позволяет управлять его аккаунтом.
Вместо этого, после авторизации через виджет в списке авторизованных устройств в настройках аккаунта создается ограниченная сессия, отображающаяся как Telegram Widgets. Сессию можно завершить в настройках приложения таким же образом, как и обычную. Завершение сессии разлогинит пользователя из всех виджетов Telegram на этом устройстве.
Сессию также можно завершить кнопкой в служебном чате Telegram Notifications – при создании новой сессии в виджете туда приходит специальное уведомление.
Токен авторизации действует ограниченное время и автоматически истекает. Каких-либо изменений в механиках работы виджетов не производилось.
На одном и том же устройстве для всех Telegram Widgets используется одна сессия. Новые авторизации через Login Widget на разных сайтах не создают дополнительных сессий.
Если пользователь подтверждает авторизацию, сайту передается следующая публичная информация: имя, фамилия, публичное имя пользователя (юзернейм) и публичная фотография. На основе этих данных авторизованный сайт может создать свою сессию. Сайт также получает временну́ю метку, которая соответствует переданным данным, и может не использовать информацию, которую посчитает устаревшей.
После авторизации пользователь получает уведомление в чате Telegram Notifications, детали авторизации появляются в разделе "Конфиденциальность" > "Подключенные сайты". Пользователь может отозвать доступ как из этого раздела, так и через сообщение в чате Telegram Notifications. Это действие не разлогинивает пользователя на том сайте, где он уже авторизован, но для последующих авторизаций Telegram снова запросит разрешение на передачу данных.
Передача информации от пользователя через авторизацию в виджете строго ограничена. Вся передаваемая информация перечислена на нашем сайте: https://core.telegram.org/widgets/login#receiving-authorization-data. Авторизация через Login Widget никогда не предоставляет доступ к сообщениям или учетным записям авторизовавшихся пользователей.
“Настройки звонков и секретных чатов” Говоря о доступе виджетов к секретным чатам и звонкам, вновь отметим, что авторизация через Telegram Widgets не предоставляет доступ к сообщениям и учетным записям пользователей, включая секретные чаты и звонки.
В вашей статье описана визуальная недоработка официального приложения на Android, из-за которой для отображения сессий Telegram Widget использовался такой же интерфейс, что и для обычных сессий, в том числе включающий не работающие настройки для принятия звонков и секретных чатов. Из-за фундаментальных различий в принципе работы сессий виджетов, которая описана выше, эти параметры для подобных сессий никогда не были актуальны. Эта интерфейсная ошибка была исправлена 19 апреля.
Авторизация в веб-версии создаёт обычную сессию в Telegram. При определенных условиях, если пользователь уже авторизован в мобильном клиенте, авторизация в веб-версии на том же устройстве может происходить моментально. Как и все сессии в Telegram, такая сессия отображается в настройках приложения.
Перехват токена авторизации от новой сессии в веб-версии при этом невозможен без доступа к устройству или браузеру жертвы. В случае наличия такого доступа, злоумышленник уже имеет контроль над приложениями или аккаунтами на сайтах пользователя (кража токена авторизации в этом случае была бы избыточной). Описанное Вами поведение представляет собой полностью компрометирующий сценарий для всех приложений и сайтов на устройстве жертвы, но никак не уязвимость в веб-версии Telegram.
14.04.202522:14
Основные термины в мире LLM:
LLM (Large Language Model / Большая Языковая Модель):
Простыми словами: Это очень большая и сложная компьютерная программа (нейросеть), которую научили понимать и генерировать человеческий текст на основе гигантского количества прочитанных ею книг, статей, сайтов и т.д.
Аналогия: Представьте себе невероятно умного попугая, который просмотрел всю библиотеку человечества и теперь может не просто повторять, а продолжать фразы, отвечать на вопросы или писать тексты в заданном стиле. Изначально необученная нейросеть выдаёт белый шум.
Пример: ChatGPT, Llama 3, Mixtral, Qwen – всё это LLM.
Веса/параметры (Parameters):
Простыми словами: Это сами "обученные нейрончики", их значения внутри нейросети (LLM). Их миллионы и миллиарды. В процессе обучения модели эти параметры подстраиваются так, чтобы модель лучше выполняла свои задачи. Чем больше параметров, тем потенциально модель умнее и способнее к сложным задачам, но как результат и тем она "тяжелее" (требует больше ресурсов).
Аналогия: векторная графика, где можно нарисовать синий круг и это будет всего 3 байта (круг+синий+размер). Больше объектов (параметров) – потенциально более детализированная картинка (и умная модель), но и файл (модель) занимает больше места т.к. описывает значительно большее количество объектов и их связей.
Пример: Llama 3 8B (8 миллиардов параметров), Llama 3 70B (70 миллиардов параметров). 70B модель значительно "тяжелее" 8B.
Параметры (parameters) в контексте нейронных сетей и LLM — это совокупность всех обучаемых (learnable) значений в модели. В подавляющем большинстве случаев это включает в себя: Веса (Weights): Это числовые значения, которые определяют силу связи между нейронами в разных слоях сети. Это основная часть параметров в любой глубокой нейронной сети, включая LLM. Именно веса умножаются на входные данные или активации предыдущего слоя. Смещения (Biases): Это дополнительные числовые значения, которые добавляются к результату взвешенной суммы в нейроне (перед применением функции активации). Они помогают модели лучше аппроксимировать данные, позволяя сдвигать функцию активации. Ключевой момент: И веса, и смещения подбираются (обучаются) в процессе тренировки модели на данных. Поэтому, хотя технически "параметры" включают и веса, и смещения, можно сказать, что: Веса составляют абсолютное большинство параметров (часто >99% в больших моделях). Когда говорят о "миллиардах параметров" LLM, в основном имеют в виду именно веса. Так что да, для упрощенного понимания можно считать, что "параметры" — это в первую очередь "веса", просто помня, что технически туда входят еще и смещения. Это те самые числа, которые хранятся в файле модели и загружаются для работы.
Квантизация (Quantization):
Простыми словами: Это процесс "сжатия" модели LLM для уменьшения её размера и требований к памяти. Это достигается за счет снижения точности чисел, которыми представлены её параметры.
Аналогия: все мы используем(даже если не знаем об этом) бесконечное число π = 3.1415926535... Для многих даже космических расчетов достаточно использовать 3.14592. Мы потеряли в точности, но запись стала занимать весьма понятное количество памяти, да и оперировать с ним стало возможно с достаточной для определенных задач точностью. Квантизация делает то же самое с миллиардами параметров модели.
Пример:
Исходная модель может использовать формат FP16 (16 бит на параметр, высокая точность, большой размер).
Квантизованная модель может использовать Q4_K_M (в среднем 4 бита на параметр, точность ниже, размер значительно меньше). Модель Llama 3 70B в FP16 весит ~140 ГБ, а в Q4_K_M - около 40 ГБ! Это позволяет запустить её на более простых компьютерах.
Важно: Небольшая потеря точности часто почти незаметна для качества ответов, но выигрыш в размере и скорости (если, например, влезает в VRAM) огромен.
GGUF (ранее GGML):
Простыми словами: Это популярный формат файла, в котором хранятся квантизованные (сжатые) модели. Этот формат разработан специально для эффективной работы LLM на обычном железе (CPU + GPU) с помощью библиотеки llama.cpp.
24.04.202510:14
Ещё чуть чуть и мы будем смотреть то что нам по "вайбу", а не искать и выбирать что-то из того что предзаписаного... Думаю станет такой же диковинкой, порядка как сегодня молодёж использует кассетные плееры)
И два поводу отпраздновать🥳 Я употребил слово "молодёж" в первый раз 😏 И канал набрал 201 подписчика🥇
23.04.202519:04
Кроме этого, вопреки описанному в Вашем документе, при авторизации в веб-версии любым способом новая сессия всегда генерирует отчетливо видное уведомление вверху списка чатов: “Кто-то получил доступ к Вашим чатам!”. Внизу этого уведомления есть кнопка немедленного завершения сессии. Кроме того, в служебном чате Telegram Notifications также появляется уведомление о новой сессии.
Во избежание сомнений, отметим: авторизация в веб-версии не имеет абсолютно никакого отношения к авторизации в виджетах, а авторизационный токен из виджета не может быть использован для авторизации в веб-версии.
Каждый из описанных типов авторизации работает корректно, и в них не обнаружено каких-либо уязвимостей. Как вы можете видеть, в аргументации вашей статьи имеются фундаментальные проблемы, обусловленные описанными выше недопониманиями. В Telegram нет каких-либо способов незаметно создать сессию, которая позволила бы получить доступ к сообщениям пользователя или его аккаунту. В Telegram нет способа перехватить авторизационный токен веб-версии без компрометации устройства или браузера, от чего не может защититься ни одно приложение или сайт. Ещё раз благодарим вас за интерес к работе Telegram и за то, что поделились своими идеями.
Всего наилучшего, Команда Telegram
23.04.202519:04
Пришел ответ от телеграм:
Thank you for reaching out. Our team has thoroughly studied your report. Unfortunately, it comes to the wrong conclusions due to a misunderstanding of the several different types of authorization used on Telegram, each of which functions independently.
Your assumption regarding a “shared token” used across all these authorizations is incorrect: it is not possible to log in to Telegram Web using a token from the Login Widget. It is also not possible to intercept a login token for Telegram Web — this would require direct access to a user's browser or device.
Lastly, all sessions that can access the user’s account and chats (such as Telegram Web sessions), have always appeared as separate sessions in Settings > Devices — and have always generated prominent notifications at the top of the chat list.
There is no vulnerability and everything is working exactly as intended. For maximum clarity, please find additional details on the various possible types of authorization and how they work below:
1. Authorization on Telegram platforms (e.g., translations, https://bugs.telegram.org/): This has no relation to Telegram account access. Telegram clients do not store any information about such authorizations. Authorization can only be revoked on the website where it occurred.
Telegram platform authorization never gives any access to your messages or your account.
2. Widgets
2.1 General Widget Behavior:
When logging in via any Telegram widget, a limited web session is created. This session enables certain actions such as posting comments or voting in polls directly from the widget.
Widget authorization does not create a full MTProto session, and does not authorize the user in a Telegram client. It has never given any access to your messages or your account.
Instead, widget authorization has always created a limited session that appears in the Devices list under the name Telegram Widgets. It can be terminated like any regular session. Doing so will log the user out of all Telegram widgets on the session's device.
Additionally, when such a widget session is created, a notification is sent to the Telegram Notifications chat. That message also includes a button that allows the user to terminate the session right there or via Settings > Devices.
The session token expires after a certain period of time. There have been no recent changes to how this works.
The Telegram Widgets session is created once per device. New logins to different websites via the Login Widget do not create new widget sessions.
After the user confirms sharing their basic profile data (name, username, and profile photo – which are all public), this information is transferred to the website, which may then create and manage its own session based on that data. The website also receives the timestamp of this data and can choose not to use outdated information for authorization.
After data is shared, the user receives a notification in Telegram Notifications, and a record appears in Settings > Privacy and Security > Connected Websites. The user can disconnect access either from this section in Settings or via the notification message itself. If disconnected, any future login will again require user confirmation before any data is shared. However, this action does not log the user out of the website.
Thus, the information shared by the user during widget authorization is strictly limited (https://core.telegram.org/widgets/login#receiving-authorization-data). Login Widget authorization has never given any access to the user’s messages or account. Re: “Widget access to secret chats and calls”. Note again that widget authorization has never provided access to the user’s account or any of their chats, including secret chats and calls.
23.04.202519:49
Телеграм прислали очень большой и развернутый ответ. Комментирую его сразу, т.к. в прошлый раз хотели удаление статьи:
Некоторые нестыковки в тексте который передан в телеграм вероятно есть. Хочу отметить что и "отсутствием проблем и фундаментальным непониманием" я это назвать не могу.
Декларируется странное поведени. (Виджет изменил свое поведение и теперь при создании сессии не является привелегированным)
Возможность авторизации без ввода Клауд пароля - есть
Связь виджета авторизации и токена авторизации... Может не так поняли, но окей. Со своей стороны я вроде даже видосик прикрепил (с демонстрацией именно проблемы инвалидизации) скинул им линк на исходник статьи тот же что и xakep.ru.
Заявление что токен один и генерируется только для web.telegram.org - хорошо, не доказано. Но вроде и не декларируется, хотя и отмечается странное его поведе поведение в части авторизации как раз без Клауд пароля.
Например уведомления о том что кто то вошел в аккаунт тг точно нет(только 1 раз, каждый вход же нет) и демонстрируется в видео так же. С моей точки зрения, это работает с проблемой. Каждая авторизация должна сообщать, но нет, это происходит 1 раз, далее при авторизации никаких более сообщений или реакции на смену ИП и переход в другой браузер. Это в статье есть и так и работает.
Если завершить сессию и иметь уже полученный токен — то можно его использовать для авторизации.
По моему мнению когда я завершаю сессию, она должна завершиться. Поведение же другое. проблема инвалидизации сессии присутствует. Так же присутствует на видео отправленное им и в xakep.ru
Само заявление "что все работает как надо" противоречит тому что есть в видео.
По моему мнению использование телеграм-браузера, особенно "по умолчанию" - это проблема.
Отправил ещё пояснения. За сим мои полномочия всё.
Huawei представила новую стоечную систему AI CloudMatrix 384, которая должна конкурировать с GB200 NVL72 от Nvidia. Хотя CloudMatrix 384 менее энергоэффективна, а ее производительность в 2,6 раза ниже в показателе FLOP на ватт, это не считается ограничивающим фактором в Китае, поскольку страна располагает достаточными энергетическими ресурсами.
Система использует ускоритель Huawei Ascend 910C AI и позиционируется как мощное внутреннее решение в китайском технологическом ландшафте. Появление CloudMatrix 384 - результат продолжающейся технологической войны между США и Китаем. scmp.com
Пример как перехватить сессию Telegram для авторизации на стороннем сервисе. Есть пару условий которые нужно чтобы они соблюдались. 1. Быть зарегистрированым на сайте где используется авторизация TelegramAuth. 2. Пройти по ссылке "злоумышленника". 3. Подтвердить push уведомление в Telegram. #КиберзащитаРФ www.attacking.ru
Три года назад чел купил несколько NFT более чем за миллион долларов. Сегодня эти картинки просто исчезли с сервера — и их больше нельзя увидеть.
Directed by Robert B. Weide
24.04.202510:14
Ещё чуть чуть и мы будем смотреть то что нам по "вайбу", а не искать и выбирать что-то из того что предзаписаного... Думаю станет такой же диковинкой, порядка как сегодня молодёж использует кассетные плееры)
И два поводу отпраздновать🥳 Я употребил слово "молодёж" в первый раз 😏 И канал набрал 201 подписчика🥇
23.04.202519:49
Телеграм прислали очень большой и развернутый ответ. Комментирую его сразу, т.к. в прошлый раз хотели удаление статьи:
Некоторые нестыковки в тексте который передан в телеграм вероятно есть. Хочу отметить что и "отсутствием проблем и фундаментальным непониманием" я это назвать не могу.
Декларируется странное поведени. (Виджет изменил свое поведение и теперь при создании сессии не является привелегированным)
Возможность авторизации без ввода Клауд пароля - есть
Связь виджета авторизации и токена авторизации... Может не так поняли, но окей. Со своей стороны я вроде даже видосик прикрепил (с демонстрацией именно проблемы инвалидизации) скинул им линк на исходник статьи тот же что и xakep.ru.
Заявление что токен один и генерируется только для web.telegram.org - хорошо, не доказано. Но вроде и не декларируется, хотя и отмечается странное его поведе поведение в части авторизации как раз без Клауд пароля.
Например уведомления о том что кто то вошел в аккаунт тг точно нет(только 1 раз, каждый вход же нет) и демонстрируется в видео так же. С моей точки зрения, это работает с проблемой. Каждая авторизация должна сообщать, но нет, это происходит 1 раз, далее при авторизации никаких более сообщений или реакции на смену ИП и переход в другой браузер. Это в статье есть и так и работает.
Если завершить сессию и иметь уже полученный токен — то можно его использовать для авторизации.
По моему мнению когда я завершаю сессию, она должна завершиться. Поведение же другое. проблема инвалидизации сессии присутствует. Так же присутствует на видео отправленное им и в xakep.ru
Само заявление "что все работает как надо" противоречит тому что есть в видео.
По моему мнению использование телеграм-браузера, особенно "по умолчанию" - это проблема.
Отправил ещё пояснения. За сим мои полномочия всё.
23.04.202519:04
Кроме этого, вопреки описанному в Вашем документе, при авторизации в веб-версии любым способом новая сессия всегда генерирует отчетливо видное уведомление вверху списка чатов: “Кто-то получил доступ к Вашим чатам!”. Внизу этого уведомления есть кнопка немедленного завершения сессии. Кроме того, в служебном чате Telegram Notifications также появляется уведомление о новой сессии.
Во избежание сомнений, отметим: авторизация в веб-версии не имеет абсолютно никакого отношения к авторизации в виджетах, а авторизационный токен из виджета не может быть использован для авторизации в веб-версии.
Каждый из описанных типов авторизации работает корректно, и в них не обнаружено каких-либо уязвимостей. Как вы можете видеть, в аргументации вашей статьи имеются фундаментальные проблемы, обусловленные описанными выше недопониманиями. В Telegram нет каких-либо способов незаметно создать сессию, которая позволила бы получить доступ к сообщениям пользователя или его аккаунту. В Telegram нет способа перехватить авторизационный токен веб-версии без компрометации устройства или браузера, от чего не может защититься ни одно приложение или сайт. Ещё раз благодарим вас за интерес к работе Telegram и за то, что поделились своими идеями.
Всего наилучшего, Команда Telegram
23.04.202519:04
Авторизация через виджеты не создает полноценную MTProto-сессию и не авторизовывает пользователя в клиенте Telegram. Она никогда не предоставляет доступ к чатам пользователя и не позволяет управлять его аккаунтом.
Вместо этого, после авторизации через виджет в списке авторизованных устройств в настройках аккаунта создается ограниченная сессия, отображающаяся как Telegram Widgets. Сессию можно завершить в настройках приложения таким же образом, как и обычную. Завершение сессии разлогинит пользователя из всех виджетов Telegram на этом устройстве.
Сессию также можно завершить кнопкой в служебном чате Telegram Notifications – при создании новой сессии в виджете туда приходит специальное уведомление.
Токен авторизации действует ограниченное время и автоматически истекает. Каких-либо изменений в механиках работы виджетов не производилось.
На одном и том же устройстве для всех Telegram Widgets используется одна сессия. Новые авторизации через Login Widget на разных сайтах не создают дополнительных сессий.
Если пользователь подтверждает авторизацию, сайту передается следующая публичная информация: имя, фамилия, публичное имя пользователя (юзернейм) и публичная фотография. На основе этих данных авторизованный сайт может создать свою сессию. Сайт также получает временну́ю метку, которая соответствует переданным данным, и может не использовать информацию, которую посчитает устаревшей.
После авторизации пользователь получает уведомление в чате Telegram Notifications, детали авторизации появляются в разделе "Конфиденциальность" > "Подключенные сайты". Пользователь может отозвать доступ как из этого раздела, так и через сообщение в чате Telegram Notifications. Это действие не разлогинивает пользователя на том сайте, где он уже авторизован, но для последующих авторизаций Telegram снова запросит разрешение на передачу данных.
Передача информации от пользователя через авторизацию в виджете строго ограничена. Вся передаваемая информация перечислена на нашем сайте: https://core.telegram.org/widgets/login#receiving-authorization-data. Авторизация через Login Widget никогда не предоставляет доступ к сообщениям или учетным записям авторизовавшихся пользователей.
“Настройки звонков и секретных чатов” Говоря о доступе виджетов к секретным чатам и звонкам, вновь отметим, что авторизация через Telegram Widgets не предоставляет доступ к сообщениям и учетным записям пользователей, включая секретные чаты и звонки.
В вашей статье описана визуальная недоработка официального приложения на Android, из-за которой для отображения сессий Telegram Widget использовался такой же интерфейс, что и для обычных сессий, в том числе включающий не работающие настройки для принятия звонков и секретных чатов. Из-за фундаментальных различий в принципе работы сессий виджетов, которая описана выше, эти параметры для подобных сессий никогда не были актуальны. Эта интерфейсная ошибка была исправлена 19 апреля.
Авторизация в веб-версии создаёт обычную сессию в Telegram. При определенных условиях, если пользователь уже авторизован в мобильном клиенте, авторизация в веб-версии на том же устройстве может происходить моментально. Как и все сессии в Telegram, такая сессия отображается в настройках приложения.
Перехват токена авторизации от новой сессии в веб-версии при этом невозможен без доступа к устройству или браузеру жертвы. В случае наличия такого доступа, злоумышленник уже имеет контроль над приложениями или аккаунтами на сайтах пользователя (кража токена авторизации в этом случае была бы избыточной). Описанное Вами поведение представляет собой полностью компрометирующий сценарий для всех приложений и сайтов на устройстве жертвы, но никак не уязвимость в веб-версии Telegram.
23.04.202519:04
Your document describes an Android-specific visual glitch due to which the widget session details screen on Android was showing the same interface as regular client sessions – including settings for “accepting calls” and “accepting secret chats”. These settings have never worked for the widget session because of its completely different nature, which is described above. This visual glitch has been corrected as of Saturday, April 19th.
This is a regular Telegram session. A seamless transition may happen under certain conditions inside a mobile browser. This session is visible and managed under Settings > Devices.
Intercepting a token from a new Telegram Web session would require access to the victim’s device or browser. At that point, the attacker would already control the environment and would have access to user data across all apps or websites (without the need to steal session tokens). This would constitute a full compromise scenario for all apps on the device or all websites in the browser, not a vulnerability in Telegram Web.
Furthermore, contrary to what you describe in your document, logging into a Telegram Web session, regardless of the method used, always generates a prominent notification at the top of the user’s chat list: “Someone just got access to your messages!” – with options to terminate the new session immediately. Additionally, this generates a notification in the user's system notifications chat on Telegram.
For maximum clarity, web sessions are completely unrelated to Login and Discussion Widgets, the login token from a widget cannot be used to access a Telegram Web session.
Each of these separate authentication flows are working properly and none of them constitute a vulnerability. As you can see, the reasoning in your article has fundamental issues due the misunderstandings described above. There is no way to silently create a session that would allow a user's messages or account to be accessed. There is no way to intercept a Telegram Web token without first compromising the device or browser, which would be a game-over scenario against which no app or website can protect.
Thank you again for looking into how Telegram works and reaching out with your ideas.
Best, The Telegram Team
=====
Спасибо за ваше обращение. Наша команда тщательно изучила ваше исследование. К сожалению, из-за неправильной интерпретации того, как различные типы независимых авторизаций работают в Telegram, в нем приведены неверные заключения.
Ваше предположение относительно “общего токена”, который используется во всех видах авторизации, некорректно: в веб-версии невозможно авторизоваться, используя токен Login Widget. Также невозможно перехватить токен авторизации веб-версии – это потребовало бы прямой доступ к устройству или браузеру пользователя.
Наконец, все сессии, которые дают доступ к чатам и аккаунту пользователя (например, сессия в веб-версии), отображаются в списке сессий в Настройках > раздел Устройства, а при появлении такой сессии пользователю показывается уведомление вверху списка чатов. Эти уведомления отправляются на все устройства, где авторизован пользователь, и не могут быть скрыты удаленно.
В описанных процессах нет уязвимостей и каждый из них работает корректно. Для максимальной ясности мы подробнее расскажем о различных типах авторизации и том, как они работают.
Авторизация этого типа не дает доступа к аккаунту пользователя в Telegram. Клиенты Telegram не хранят информацию о таких авторизациях, а пользователи могут сбросить авторизацию непосредственно на той платформе, где авторизовались.
Авторизация на платформах Telegram никогда не предоставляет доступ к сообщениям или учетным записям авторизовавшихся пользователей.
2. Виджеты
2.1 Общее поведение виджетов (например, Discussion Widget):
При авторизации через любой виджет в Telegram создается сессия со строго ограниченными правами.
23.04.202519:04
Пришел ответ от телеграм:
Thank you for reaching out. Our team has thoroughly studied your report. Unfortunately, it comes to the wrong conclusions due to a misunderstanding of the several different types of authorization used on Telegram, each of which functions independently.
Your assumption regarding a “shared token” used across all these authorizations is incorrect: it is not possible to log in to Telegram Web using a token from the Login Widget. It is also not possible to intercept a login token for Telegram Web — this would require direct access to a user's browser or device.
Lastly, all sessions that can access the user’s account and chats (such as Telegram Web sessions), have always appeared as separate sessions in Settings > Devices — and have always generated prominent notifications at the top of the chat list.
There is no vulnerability and everything is working exactly as intended. For maximum clarity, please find additional details on the various possible types of authorization and how they work below:
1. Authorization on Telegram platforms (e.g., translations, https://bugs.telegram.org/): This has no relation to Telegram account access. Telegram clients do not store any information about such authorizations. Authorization can only be revoked on the website where it occurred.
Telegram platform authorization never gives any access to your messages or your account.
2. Widgets
2.1 General Widget Behavior:
When logging in via any Telegram widget, a limited web session is created. This session enables certain actions such as posting comments or voting in polls directly from the widget.
Widget authorization does not create a full MTProto session, and does not authorize the user in a Telegram client. It has never given any access to your messages or your account.
Instead, widget authorization has always created a limited session that appears in the Devices list under the name Telegram Widgets. It can be terminated like any regular session. Doing so will log the user out of all Telegram widgets on the session's device.
Additionally, when such a widget session is created, a notification is sent to the Telegram Notifications chat. That message also includes a button that allows the user to terminate the session right there or via Settings > Devices.
The session token expires after a certain period of time. There have been no recent changes to how this works.
The Telegram Widgets session is created once per device. New logins to different websites via the Login Widget do not create new widget sessions.
After the user confirms sharing their basic profile data (name, username, and profile photo – which are all public), this information is transferred to the website, which may then create and manage its own session based on that data. The website also receives the timestamp of this data and can choose not to use outdated information for authorization.
After data is shared, the user receives a notification in Telegram Notifications, and a record appears in Settings > Privacy and Security > Connected Websites. The user can disconnect access either from this section in Settings or via the notification message itself. If disconnected, any future login will again require user confirmation before any data is shared. However, this action does not log the user out of the website.
Thus, the information shared by the user during widget authorization is strictly limited (https://core.telegram.org/widgets/login#receiving-authorization-data). Login Widget authorization has never given any access to the user’s messages or account. Re: “Widget access to secret chats and calls”. Note again that widget authorization has never provided access to the user’s account or any of their chats, including secret chats and calls.
«Пасхалка» в Telegram. Как я нашел способ авторизоваться без клауд-пароля и уведомлений #статьи #подписчикам
Разработчики Telegram не сидят без дела: в мессенджере с каждым годом все больше функций. Но некоторые из них, если перефразировать «Собачье сердце», могут превратиться «из классной фичи в мерзкий баг». Этот материал — о любопытной уязвимости, с которой я столкнулся, расследуя, как украли 200 миллионов рублей в крипте зимой 2025 года.
Huawei представила новую стоечную систему AI CloudMatrix 384, которая должна конкурировать с GB200 NVL72 от Nvidia. Хотя CloudMatrix 384 менее энергоэффективна, а ее производительность в 2,6 раза ниже в показателе FLOP на ватт, это не считается ограничивающим фактором в Китае, поскольку страна располагает достаточными энергетическими ресурсами.
Система использует ускоритель Huawei Ascend 910C AI и позиционируется как мощное внутреннее решение в китайском технологическом ландшафте. Появление CloudMatrix 384 - результат продолжающейся технологической войны между США и Китаем. scmp.com
Внутри 3 части: – АИ на предприятии: Опыт семи передовых компаний – Практическое руководство по созданию агентов ИИ: Что агенты АИ могут сделать для ваших сотрудников? – Определение и масштабирование сценариев применения АИ: На чём концентрируются компании, первыми внедрившие АИ
Я полистал и там внутри много вещей на которых лично я набивал шишки в практике с GenAI, очень рекомендую корпоративным менеджерам