Американский эксперт по кибербезопасности Натаниэль Сачи обнаружил, что приложение Telegram Desktop не шифрует переписку пользователей, хранящуюся на компьютере.
Как сообщается, Сачи изучил официальную настольную версию клиента Telegram и выяснил, что сообщения хранятся в базе данных SQLite, которая никак не шифруется. Причем в ней находятся в том числе сообщения, отправленные в секретных чатах (секретные чаты есть в десктопной версии на macOS. — прим. автор новости).
Специалист отмечает, что прочитать базу данных несколько затруднительно — нужно, как минимум, написать соответствующие скрипты, — однако в конечном счете ему удалось извлечь сообщения.
https://twitter.com/nathanielrsuchy/status/1057111749671993344
При этом в базе данных можно обнаружить не только текст, но и имена и номера телефонов, связанные с отправителем. Похожая ситуация также наблюдается с медиафайлами. Сачи утверждает, что достаточно просто поменять расширение файла, и картинки становится возможным просматривать.
Эксперт предложил Telegram объясниться, но мессенджер пока не отреагировал на заявление.
Обновлено
Глава Telegram Павел Дуров заявил, что то, что обнаружил Сачи, — некритично и, по сути, не является уязвимостью.
«C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: “Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения”.
Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий.
К сожалению, нежелание редакторов СМИ разбираться в деталях проблем с безопасностью приводит к тому, что читатели перестают обращать на них внимание. И когда появляются сообщения о настоящих угрозах, пользователь может не придать им значения», — отметил Дуров.
Источник: Bleeping Computer
- Ранее аналогичная проблема была обнаружена у мессенджера Signal.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: