CNews Аналитика Конференции Маркет Техника ТВ

Разделы

Безопасность Пользователю Интернет Веб-сервисы Техника
|

Секретные видео в Telegram может посмотреть любой посторонний

Самоуничтожающиеся аудио и видео в секретных чатах Telegram далеко не во всех случаях действительно самоуничтожались. Кроме того, в мессенджере обнаружилась проблема с небезопасным хранением пасскодов.

Не то, чтобы совсем несекретные...

Telegram исправил существенную оплошность своих разработчиков, связанную с заявленными инструментами защиты приватности.

У Telegram есть дополнительная мера защиты - «секретные чаты», где можно пересылать участникам дискуссии аудио и видео, самоудаляющиеся через заданный временной промежуток.

Однако, как выяснилось, в режиме секретного чата обещанного удаления таких роликов под macOS не происходило, по крайней мере, на стороне получателя.

Эксперт по безопасности по имени Дхирадж Мишра (Dhiraj Mishra) обнаружил проблему в клиентской версии Telegram 7.3 под macOS. Он выяснил, что стандартные чаты могут выдавать защищённый путь к области, в которой хранятся полученные видео и аудиозаписи.

tele600.jpg

Функции по защите приватности в Telegram не справлялись с окончательным удалением «самоуничтожающихся» видео

И хотя в режиме секретных чатов этот путь не выдаётся, файлы в любом случае хранятся в одной и той же папке. Даже когда записи автоматически удаляются из чата (то есть, перестают быть доступны через него), сами файлы остаются на жёстком диске всё в том же каталоге, хотя по идее тоже должны удаляться. Таким образом, функция не срабатывала так, как ожидалось, ставя под угрозу пользователей, особенно когда речь идёт о рассылке записей нескольким получателям.

У вас код доступа рассыпался

Помимо этого Дхирадж Мишра обнаружил ещё один криминальный недочёт Telegram: локальные коды доступа к приложению в незашифрованном виде на пользовательском устройстве - по адресу Users/[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata располагался незашифрованный файл JSON.

«Обе описанные проблемы, увы, не выглядят чем-то атипичным: и хранение важных данных в незашифрованном виде, и не полное соответствие заявленного уровня защиты реальному встречаются довольно часто, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Далеко не всегда вендоры адекватно реагируют на обращения экспертов, но в этот раз, судя по всему, разработчики Telegram проявили адекватность и оперативность в устранении «багов», которые компрометировали сквозную защиту мессенджера».

Обе уязвимости устранены в версии Telegram 7.4. Мишра получил $3 тыс. в качестве вознаграждения.

Роман Георгиев

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Зачем рынку еще один интегратор? Спросили у новой компании

Ошибка разработчиков Telegram позволяла запускать в Windows вредоносные программы

Какое коммуникационное решение для бизнеса выбрать — On-Premise или SaaS

Потому что не стоило портить жизнь россиянам. В России заблокированы облако Amazon и регистратор доменов GoDaddy

Максим Семёнкин, CodeInside: Рынок от аутсорсинга не отказывается, но активно сокращает его

YouTube объявил войну приложениям, вырезающим рекламу. Смотреть видео через них будет невозможно

MARKET.CNEWS

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

Техника

Как обустроить быт в палатке: лучшие гаджеты для походов

Обзор ноутбука HUAWEI MateBook D 16 2024: производительный малый

Самые дорогие мониторы для профессиональной работы: выбор ZOOM

Показать еще

Наука

На каком языке думают нейросети?

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр
Показать еще