Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 892
- Реакции
- 3
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Десктопная версия мессенджера Telegram не защищает должным образом переписку пользователя. Приложение хранит содержимое диалогов и медиафайлы локально в открытом виде.
Проблему обнаружил исследователь в области безопасности Натаниэль Сачи (Nathaniel Suchy), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».
Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.
Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.
Ранее похожая недоработка была обнаружена в другом защищенном мессенджере - Signal. Оказалось, что приложениене обеспечивает должную защиту при обновлении с расширения для Chrome на десктопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.
Проблему обнаружил исследователь в области безопасности Натаниэль Сачи (Nathaniel Suchy), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».
Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.
Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.
Ранее похожая недоработка была обнаружена в другом защищенном мессенджере - Signal. Оказалось, что приложениене обеспечивает должную защиту при обновлении с расширения для Chrome на десктопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.
