Секретні відео в Telegram може подивитися будь-хто

Telegram виправив істотну помилку своїх розробників, пов’язану з заявленими інструментами захисту приватності.

У Telegram є додаткова міра захисту – «секретні чати», де можна пересилати учасникам дискусії аудіо і відео, які самовидаляються через заданий часовий проміжок.

Однак, як з’ясувалося, в режимі секретного чату обіцяного видалення таких роликів під macOS не відбувалося, принаймні, на стороні одержувача.

Експерт з безпеки на ім’я Дхірадж Мішра (Dhiraj Mishra) виявив проблему в клієнтській версії Telegram 7.3 під macOS. Він з’ясував, що стандартні чати можуть видавати захищений шлях до області, в якій зберігаються отримані відео і аудіозаписи.

І хоча в режимі секретних чатів цей шлях не видається, файли в будь-якому випадку зберігаються в одній і тій же папці. Навіть коли записи автоматично видаляються з чату (тобто, перестають бути доступні через нього), самі файли залишаються на жорсткому диску все в тому ж каталозі, хоча по ідеї теж повинні видалятися. Таким чином, функція не спрацювала так, як очікувалося, ставлячи під загрозу користувачів, особливо коли мова йде про розсилку записів кільком одержувачам.

У вас код доступу розсипався

Крім цього Дхірадж Мішра виявив ще один кримінальний недолік Telegram: локальні коди доступу до додатка в незашифрованому вигляді на пристрої  – за адресою Users / [username] / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram / accounts-metadata розташовувався незашифрований файл JSON.

«Обидві описані проблеми, на жаль, не виглядають чимось атиповим: і зберігання важливих даних в незашифрованому вигляді, і не повну відповідність заявленого рівня захисту реальному зустрічаються досить часто, – каже Анастасія Мельникова , експерт з інформаційної безпеки компанії SEC Consult Services. – Далеко не завжди вендори адекватно реагують на звернення експертів, але в цей раз, судячи з усього, розробники Telegram проявили адекватність і оперативність в усуненні «багів», які компрометували наскрізний захист месенджера ».

Обидві уразливості усунуті в версії Telegram 7.4. Мішра отримав $ 3 тис. В якості винагороди.

Exit mobile version