Telegram-მა დააფიქსირა კონფიდენციალურობის სერიოზული პრობლემა თვითგანადგურების მედიასთან
დჰირაჯ მიშრამ, უსაფრთხოების მკვლევარმა, გააზიარა ბლეპინგ კომპიუტერი უსაფრთხოების ორი ხარვეზის საინტერესო აღმოჩენები ახლა უკვე გამოსწორებულ Telegram მესენჯერის აპლიკაციაში macOS-ისთვის. ამ საკითხებმა განაპირობა ის, რომ აპლიკაციამ ვერ შეძლო სწორად წაშალა თვითგანადგურების მედია საიდუმლო ჩეთებში და შეინახოს ადგილობრივი პაროლი უბრალო ტექსტში.
პირველი საკითხი ეხება საიდუმლო ჩეთებში მედიის თვითგანადგურების მექანიზმს (ისინი დაცულია ბოლოდან ბოლომდე დაშიფრული ჩეთებით, რომლებიც არ სინქრონიზდება მოწყობილობებს შორის). ამ ფუნქციის მთავარი იდეაა „უსაფრთხო“ გაგზავნა ფაილი, რომელიც ავტომატურად და მთლიანად გაქრება მიმღების მოწყობილობიდან გარკვეული დროის შემდეგ ყოველგვარი კვალის გარეშე.
როგორც ირკვევა, Telegram-მა გაჟონა გზა sandbox-ის შესანახად, სადაც ინახავს მიღებულ მედიას როგორც რეგულარული, ასევე საიდუმლო ჩეთებიდან. შედარებით ადვილი იყო ამ გზის ამოღება და მედიის ასლების მიღება მას შემდეგაც, რაც აპმა წაშალა ყველა მიღებული თვითგანადგურების ფაილი. თქვენ შეგიძლიათ უყუროთ Dhiraj Mishra ამ ხარვეზის დემონსტრირებას ქვემოთ მოცემულ ვიდეოში.
მკვლევარმა ასევე აღმოაჩინა, რომ Telegram macOS-ისთვის ინახავდა ადგილობრივ პაროლს უბრალო ტექსტში JSON ფაილის სახით. კიდევ ერთხელ, თქვენ შეგიძლიათ იხილოთ ეს შეცდომა მოქმედებაში ვიდეოში Dhiraj-დან.
დჰირაჯმა აცნობა Telegram-ს თავისი აღმოჩენების შესახებ 2020 წლის 26 დეკემბერს და დეველოპერებმა სწრაფად დააფიქსირეს ისინი Telegram 7.4-ში. მათ ასევე დააჯილდოვეს მკვლევარი $3000 ბონუსით.
2021 წელს, Telegram განიცდის მომხმარებელთა დიდ მიგრაციას WhatsApp-დან მას შემდეგ, რაც ეს უკანასკნელი აღმოჩნდა სხვა კონფიდენციალურობის სკანდალში. Telegram-ისა და მისი კონფიდენციალურობის დაცვის პოლიტიკის მიმართ მეტი თვალით, გასაკვირი არ არის, რომ მკვლევარები აღმოაჩენენ ადრე უცნობ შეცდომებს და პრობლემებს. კარგი ის არის, რომ დეველოპერები სწრაფად რეაგირებენ და ასწორებენ ამ შეცდომებს. მიუხედავად ამისა, ეს ამბავი აჩვენებს, რომ საუკეთესო სერვისებიც კი არ არის დაცული შეცდომებისა და შეცდომებისგან.
