«Самоуничтожающиеся» записи в секретных чатах Telegram доступны после уничтожения

15 февраля 2021 г. 11:05
 996

Уязвимость была обнаружена в версии приложения 7.3 исследователем безопасности Дираем Мишрой.

Популярный мессенджер Telegram исправил ошибку безопасности в своем macOS-приложении, которая позволяла получить доступ к «самоуничтожающимся» аудио- и видео-сообщениям еще долгое время после их исчезновения из «секретных чатов».

Уязвимость была обнаружена в версии приложения 7.3 исследователем безопасности Дираем Мишрой, который 26 декабря 2020 года сообщил Telegram о своих находках. Проблема была решена в версии Telegram 7.4, вышедшей 29 января.

В отличие от приложений Signal и WhatsApp, к разговорам в Telegram по умолчанию применяется end-to-end шифрование, если только пользователи явно не выбрали функцию «секретный чат», которая заставляет Telegram хранить данные в зашифрованном виде даже на своих серверах. Также в рамках секретного чата доступна опция отправки «самоуничтожающихся» сообщений.

Мишра обнаружил в приложении утечку прямой ссылки, по которой записанное сообщение хранится в формате ".mp4" когда пользователь записывает и отправляет аудио или видео сообщение через обычный чат. При включенной опции секретного чата, утечки информации о пути хранения записи не происходит, но записанное сообщение все равно сохраняется по тому же адресу.

Кроме того, даже в тех случаях, когда пользователь получает сообщение о самоуничтожении в секретном чате, мультимедийное сообщение остается доступным в системе после того, как сообщение исчезло с экрана чата приложения.

Telegram заявляет, что «суперсекретные» чаты не оставляют следов, но локальная копия таких сообщений хранится по специальному маршруту», - рассказал Мишра в интервью изданию The Hacker News.

Кроме того, Мишра обнаружил еще одну уязвимость в macOS-приложении Telegram, которое хранит локальные пароли в открытом виде в JSON-файле, расположенном в разделе

«/Users//Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/.»

Исследователь получил 3000 евро за сообщение о двух ошибках в рамках программы Bug Bounty.

Количество пользователей Telegram в январе достигло отметки в 500 миллионов, отчасти под влиянием всплеска «побега» пользователей из WhatsApp после пересмотра политики конфиденциальности, которая включает в себя обмен определенными данными со своей материнской компанией - Facebook.

Несмотря на то, что Telegram предлагает шифрование клиент-сервер/сервер-клиент (с использованием фирменного протокола под названием «MTProto»), а также при хранении сообщений в облаке Telegram, стоит помнить, что групповые чаты не предлагают end-to-end шифрования, и что все истории чатов по умолчанию хранятся на их серверах. Это сделано для того, чтобы сделать разговоры легкодоступными на разных устройствах.

«Так что, если вы пользуетесь Telegram и хотите по-настоящему приватный групповой чат, вам не повезло», - сообщил в прошлом месяце Рафаэль Мимун, основатель некоммерческой организации по безопасности Horizontal.

 

Перевод сделан со статьи: https://thehackernews.com