Американский специалист по безопасности заявил, что десктопный клиент Telegram хранит переписку пользователей в незашифрованном виде [Обновлено]

Американский эксперт по кибербезопасности Натаниэль Сачи обнаружил, что приложение Telegram Desktop не шифрует переписку пользователей, хранящуюся на компьютере.

Как сообщается, Сачи изучил официальную настольную версию клиента Telegram и выяснил, что сообщения хранятся в базе данных SQLite, которая никак не шифруется. Причем в ней находятся в том числе сообщения, отправленные в секретных чатах (секретные чаты есть в десктопной версии на macOS. — прим. автор новости).

Специалист отмечает, что прочитать базу данных несколько затруднительно — нужно, как минимум, написать соответствующие скрипты, — однако в конечном счете ему удалось извлечь сообщения.

https://twitter.com/nathanielrsuchy/status/1057111749671993344

При этом в базе данных можно обнаружить не только текст, но и имена и номера телефонов, связанные с отправителем. Похожая ситуация также наблюдается с медиафайлами. Сачи утверждает, что достаточно просто поменять расширение файла, и картинки становится возможным просматривать.

Эксперт предложил Telegram объясниться, но мессенджер пока не отреагировал на заявление.

Обновлено

Глава Telegram Павел Дуров заявил, что то, что обнаружил Сачи, — некритично и, по сути, не является уязвимостью.

«C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: “Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения”.

Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий.

К сожалению, нежелание редакторов СМИ разбираться в деталях проблем с безопасностью приводит к тому, что читатели перестают обращать на них внимание. И когда появляются сообщения о настоящих угрозах, пользователь может не придать им значения», — отметил Дуров.

Источник: Bleeping Computer

• Ранее аналогичная проблема была обнаружена у мессенджера Signal.