Telegram вирішив серйозну проблему конфіденційності з самознищувальними медіа

Дхірадж Мішра, дослідник безпеки, поділився з Спливаючий комп'ютер цікаві висновки про дві помилки безпеки у виправленому додатку Telegram для macOS. Через ці проблеми програмі не вдалося належним чином видалити медіафайли з самознищенням у секретних чатах та зберегти локальний пароль у вигляді простого тексту.

Перша проблема стосується механізму самознищування медіа в секретних чатах (вони захищені чатами з наскрізним шифруванням, які не синхронізуються між пристроями). Основна ідея цієї функції полягає в тому, щоб «безпечно» надіслати файл, який автоматично та повністю безслідно зникне з пристрою одержувача через певний час.

Як виявилося, Telegram просочував шлях до сховища пісочниці, де він зберігає отримані медіа як із звичайних, так і з секретних чатів. Було відносно легко витягти цей шлях і отримати копії медіа навіть після того, як програма видалила всі отримані файли, що самознищуються. Ви можете подивитися, як Dhiraj Mishra демонструє цю помилку у відео нижче.

Дослідник також виявив, що Telegram для macOS зберігав локальний пароль у вигляді простого тексту як файл JSON. Знову ж таки, ви можете побачити цю помилку в дії на відео від Dhiraj.

Дірадж повідомив Telegram про свої висновки 26 грудня 2020 року, і розробники швидко виправили їх у Telegram 7.4. Вони також нагородили дослідника винагородою в 3000 доларів.

У 2021 році Telegram відчуває велику міграцію користувачів із WhatsApp після того, як останній опинився в черговому скандалі щодо конфіденційності. З огляду на Telegram та його політику захисту конфіденційності, не дивно, що дослідники знаходять раніше невідомі помилки та проблеми. Добре те, що розробники швидко реагують і виправляють ці помилки. Проте ця історія показує, що навіть найкращі сервіси не застраховані від помилок і помилок.