В приложении популярного мессенджера «Telegram » для macOS исправлена ошибка, нарушающая конфиденциальность и позволяющая получать доступ к самоуничтожающимся аудио и видео сообщениям спустя долгое время после их исчезновения из секретных чатов.
Уязвимость была обнаружена аналитиком в области информационной безопасности Дхираджем Мишрой в версии приложения 7.3. Он передал полученные данные в Telegram 26 декабря 2020 года. Проблема была разрешена в версии 7.4, выпущенной 29 января.
В отличие от мессенджеров «Signal » или «WhatsApp », разговоры в «Telegram » по умолчанию не шифруются, за исключением тех случаев, когда пользователи намеренно разрешают специфичную для устройства функцию, называемую «секретный чат», которая сохраняет данные в зашифрованном виде даже на серверах «Telegram ». Кроме того, в секретных чатах доступна возможность отправки самоуничтожающихся сообщений.
Аудитор паролей
Аналитик обнаружил, что, когда пользователь записывает и отправляет аудио или видео сообщение в обычном чате, из приложения утекает точный путь, по которому записанное сообщение хранится в формате ".mp 4". При включенной функции секретного чата информация о пути не «сливается», но записанное сообщение по-прежнему сохраняется в том же месте.
Кроме того, когда пользователь получает самоуничтожающееся сообщение в секретном чате, мультимедийное сообщение остается доступным в системе даже после того, как сообщение исчезло с экрана чата приложения.
По словам «Telegram », «суперсекретные» чаты не оставляют истории сообщений, но они хранят локальную копию таких сообщений по заданному пути», - сообщил Мишра сайту «The Hacker News ».
Помимо этого, Мишра также обнаружил вторую уязвимость в приложении «Telegram » для macOS , которое хранит локальные пароли в виде открытого текста в файле JSON , расположенном в папке «/Users /<user _name >/Library /Group Containers /<*>. ru .keepcoder .Telegram /accounts -metadata .
Разработчики наградили аналитика суммой в 3000 евро за сообщение о двух недостатках в рамках своей программы поощрения за обнаруженные уязвимости.
В январе «Telegram » достиг отметки в 500 миллионов активных пользователей в месяц, отчасти из-за резкого увеличения числа пользователей, отказавшихся от «WhatsApp » после пересмотра политики конфиденциальности, которая включает обмен определенными данными со своей материнской компанией «Facebook ».
Несмотря на то, что сервис предусматривает шифрование клиент-сервер/сервер-клиент (с использованием проприетарного протокола «MTProto »), а также то, что сообщения хранятся в облаке «Telegram », стоит помнить, что групповые чаты не защищены сквозным шифрованием и все истории чатов по умолчанию хранятся на его серверах. Данная функция разработана для доступности разговоров на разных устройствах.
«Так что, если вы используете «Telegram » и хотите общаться в действительно приватном групповом чате, знайте, что это невозможно», - сообщил в прошлом месяце основатель некоммерческой организации по цифровой безопасности «Horizontal », Рафаэль Мимун.
Компания АКЦЕНТ-центр.
