У секретних чатах Telegram виявили небезпечну дірку

Час читання: 2 хв.

У месенджері Telegram виявлений баг, що дозволяє зберігати самознищується повідомлення. Про це розповів профільний ресурс TrustWave.

Йдеться тільки про версії для macOS. Виявилося, самознищуючі повідомлення в Telegram не так вже й безпечні на Mac. За словами фахівців з кібербезпеки, в месенджері допущена помилка, яка дозволяє співрозмовнику зберігати «зникаючі» медіафайли та переглядати їх після того, як вони втечуть з чату.

Секретні чати Telegram використовують наскрізне шифрування. Це означає, що ключі від листування є тільки у співрозмовників, а сама листування не зберігається на сервері – вона розшифровується в реальному часі на пристроях користувачів і зберігається тільки на них. Однак кожне повідомлення має свій ідентифікатор, що дозволяє видаляти його відразу в обох співрозмовників.

Те ж стосується і медіафайлів, які відправляються з міткою «самознищення». Вони шифруються перед відправкою і розшифровуються в момент отримання. Після певного заданого періоду картинка або відео зникає з чату – але, як виявилося, не безслідно.

Експерти виявили, що самознищуючі файли, надіслані в секретних чатах на Mac-клієнт, можуть зберігатися в папку з кешем і залишатися там невизначений час. Автор статті на TrustWave повідомив, що він виявив мітки геолокації, аудіо, відео та документи цим шляхом:

/ Users / Admin / Library / Group Containers / XXXXXXX.ru.keepcoder.Telegram / appstore / account-1271742300XXXXXX / postbox / media

де ХХХХХХ позначає персональний ідентифікатор конкретного чату.

В результаті, за замовчуванням всі «зникаючі» медіафайли з секретних чатів зберігаються в цю папку. Крім того, при отриманні файлу в чаті його можна навіть не переглядати, а відразу йти в зазначену вище папку – таким чином відправник не буде знати, що медіа переглянуто, а одержувач ще й дістає собі копію цього медіа.

Відразу після повідомлення про баг розробники Telegram усунули помилку. Однак обхідний спосіб «дістати» файли з зникаючого чату все ще залишився. Telegram вирішив не виправляти цю проблему і дав коментар:

«Зверніть увагу, що мета таймера самознищення – простий спосіб автоматичного видалення окремих повідомлень. Завжди є кілька способів обійти таку функцію, які виходять за рамки того, що Telegram може контролювати. Ми чітко попереджаємо користувачів, що не зможемо захистити їх від усього на світі ».

Скарбик Павло

Закінчив Тернопільський національний технічний університет, почав писати про IT у 2015 році. Люблю розповідати про iPhone і Mac, автомобілі, їжу, гаджети розумного будинку і роблю огляди. Також захоплююся спортом а саме баскетболом і активним відпочинком на свіжому повітрі. Головний редактор iTechua.com.