СМИ Telegram для macOS не удалял самоуничтожающиеся видео

[GLOV]

Разработчики Telegram исправили баг, из-за которого самоуничтожающиеся аудио- и видеофайлы не удалялись с устройств под управлением macOS.

Напомню, что в режиме секретного чата нельзя пересылать сообщения другим пользователям, а также есть возможность настроить автоматическое самоуничтожение всех сообщений и мультимедиа по прошествии определенного количества времени.


Независимый ИБ-специалист Дхирадж Мишра (Dhiraj Mishra) обнаружил, что в Telegram версии 7.3 самоуничтожающиеся сообщения не удалялись с устройства получателя окончательно. Так, эксперт заметил, что на macOS стандартные чаты «сливают» путь песочницы, где хранятся все полученные видео- и аудиофайлы. И хотя этот путь не «утекает» в секретных чатах, полученные медиафайлы все равно хранятся там же, даже если в самом чате сообщения уже самоуничтожились, как и должны были.

«Боб (злоумышленник, использующий tdesktop macOS) и Алиса (жертва) общаются в режиме секретного чата, и Алиса отправляет аудио/видео сообщение Бобу с таймером самоуничтожения на 20 секунд. Хотя сообщение удаляется из чата через 20 секунд, оно по-прежнему доступно по кастомному пути Боба, здесь Telegram не может предотвратить конфиденциальность для Алисы. В общем, функция самоуничтожения и работы без следов не работает», — пишет эксперт.

Кроме того, Мишра обнаружил, что Telegram хранил локальные коды доступа для разблокировки приложения в формате обычного текста. Они сохранялись в папке Users/[имя пользователя]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata в виде файлов JSON.


Обе проблемы исследователь обнаружил в конце декабря 2020 года, и с релизом Telegram 7.4 они были исправлены. За сообщение об обеих ошибках Мишра получил вознаграждение в размере 3000 долларов.