Telegram отстрани сериозен проблем с поверителността със самоунищожаващи се медии

Дхирадж Мишра, изследовател по сигурността, сподели с Компютър за кървене интересни констатации на две грешки в сигурността в вече коригираното приложение за съобщения Telegram за macOS. Тези проблеми накараха приложението да не успява правилно да премахне самоунищожаващи се медии в тайните чатове и да съхранява локална парола в обикновен текст.

Първият проблем се отнася до механизма на самоунищожаващи се медии в тайните чатове (те са защитени с криптиращи чатове от край до край, които не се синхронизират между устройства). Основната идея на тази функция е да изпрати "безопасно" файл, който автоматично и напълно ще изчезне без следа от устройството на получателя след определено време.

Както се оказва, Telegram е пропускал път към съхранение в пясъчника, където съхранява получените медии както от редовни, така и от тайни чатове. Беше сравнително лесно да се извлече този път и да се получат копия на носителя дори след като приложението изтри всички получени самоунищожаващи се файлове. Можете да гледате Dhiraj Mishra, демонстриращ този бъг във видеото по-долу.

Изследовател също така установи, че Telegram за macOS съхранява локална парола в обикновен текст като JSON файл. Отново можете да видите този бъг в действие във видеото от Dhiraj.

Dhiraj уведоми Telegram за констатациите си на 26 декември 2020 г. и разработчиците бързо ги коригираха в Telegram 7.4. Те също така наградиха изследователя с награда от 3000 долара.

През 2021 г. Telegram преживява голяма миграция на потребители от WhatsApp, след като последният се оказа в друг скандал за поверителност. С повече очи върху Telegram и неговите политики за защита на поверителността, не е изненадващо, че изследователите откриват неизвестни досега грешки и проблеми. Хубавото е, че разработчиците бързо реагират и коригират тези грешки. И все пак тази история показва, че дори и най-добрите услуги не са имунизирани срещу грешки и грешки.