Спецпроекты

Секретные видео в Telegram может посмотреть любой посторонний

Безопасность Пользователю Интернет Веб-сервисы Техника

Самоуничтожающиеся аудио и видео в секретных чатах Telegram далеко не во всех случаях действительно самоуничтожались. Кроме того, в мессенджере обнаружилась проблема с небезопасным хранением пасскодов.

Не то, чтобы совсем несекретные...

Telegram исправил существенную оплошность своих разработчиков, связанную с заявленными инструментами защиты приватности.

У Telegram есть дополнительная мера защиты - «секретные чаты», где можно пересылать участникам дискуссии аудио и видео, самоудаляющиеся через заданный временной промежуток.

Однако, как выяснилось, в режиме секретного чата обещанного удаления таких роликов под macOS не происходило, по крайней мере, на стороне получателя.

Эксперт по безопасности по имени Дхирадж Мишра (Dhiraj Mishra) обнаружил проблему в клиентской версии Telegram 7.3 под macOS. Он выяснил, что стандартные чаты могут выдавать защищённый путь к области, в которой хранятся полученные видео и аудиозаписи.

Функции по защите приватности в Telegram не справлялись с окончательным удалением «самоуничтожающихся» видео

И хотя в режиме секретных чатов этот путь не выдаётся, файлы в любом случае хранятся в одной и той же папке. Даже когда записи автоматически удаляются из чата (то есть, перестают быть доступны через него), сами файлы остаются на жёстком диске всё в том же каталоге, хотя по идее тоже должны удаляться. Таким образом, функция не срабатывала так, как ожидалось, ставя под угрозу пользователей, особенно когда речь идёт о рассылке записей нескольким получателям.

У вас код доступа рассыпался

Помимо этого Дхирадж Мишра обнаружил ещё один криминальный недочёт Telegram: локальные коды доступа к приложению в незашифрованном виде на пользовательском устройстве - по адресу Users/[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata располагался незашифрованный файл JSON.

«Обе описанные проблемы, увы, не выглядят чем-то атипичным: и хранение важных данных в незашифрованном виде, и не полное соответствие заявленного уровня защиты реальному встречаются довольно часто, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Далеко не всегда вендоры адекватно реагируют на обращения экспертов, но в этот раз, судя по всему, разработчики Telegram проявили адекватность и оперативность в устранении «багов», которые компрометировали сквозную защиту мессенджера».

Обе уязвимости устранены в версии Telegram 7.4. Мишра получил $3 тыс. в качестве вознаграждения.