Telegram исправил серьезную проблему конфиденциальности с самоуничтожающимися носителями

Дхирадж Мишра, исследователь безопасности, поделился с Пищевой компьютер Интересные выводы о двух ошибках безопасности в исправленном приложении для обмена сообщениями Telegram для macOS. Из-за этих проблем приложение не могло должным образом удалить самоуничтожающийся носитель в секретных чатах и ​​сохранить локальный пароль в виде обычного текста.

Первая проблема связана с механизмом самоуничтожения носителей в секретных чатах (они защищены чатами с сквозным шифрованием, которые не синхронизируются между устройствами). Основная идея этой функции — «безопасно» отправить файл, который автоматически и полностью исчезнет без каких-либо следов с устройства получателя по прошествии определенного времени.

Как выяснилось, Telegram пропустил путь к хранилищу песочницы, где хранятся полученные медиафайлы как из обычных, так и из секретных чатов. Было относительно легко извлечь этот путь и получить копии носителя даже после того, как приложение удалило все полученные самоуничтожающиеся файлы. Вы можете посмотреть, как Дхирадж Мишра демонстрирует эту ошибку в видео ниже.

Исследователь также обнаружил, что Telegram для macOS хранил локальный пароль в виде простого текста в виде файла JSON. Опять же, вы можете увидеть эту ошибку в действии на видео от Дхираджа.

Дхирадж уведомил Telegram о своих выводах 26 декабря 2020 года, и разработчики быстро исправили их в Telegram 7.4. Они также наградили исследователя наградой в 3000 долларов.

В 2021 году Telegram испытает массовую миграцию пользователей из WhatsApp после того, как последний оказался в очередном скандале с конфиденциальностью. Неудивительно, что исследователи, уделяющие больше внимания Telegram и его политике защиты конфиденциальности, находят ранее неизвестные ошибки и проблемы. Хорошо то, что разработчики быстро реагируют и исправляют эти ошибки. Тем не менее, эта история показывает, что даже лучшие сервисы не застрахованы от ошибок и ошибок.

Добавить комментарий

Ваш адрес email не будет опубликован.