Российский специалист по информационной безопасности Кирилл Фирсов заметил странное поведение мессенджера Telegram. Оказалось, что macOS «протоколирует» в syslog все, что пользователь вставляет в чаты из буфера обмена, даже если это были «секретные» чаты.
Фирсов обнаружил проблему в конце прошлой недели, о чем и сообщил у себя в Twitter. Там же исследователь поинтересовался у Павла Дурова, чем обусловлено такое поведение защищенного мессенджера.
Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0
— Kirill Firsov (@k_firsov) July 23, 2016
Павел Дуров ответил исследователю, в серии твитов он объяснил, что такая уязвимость действительно существует, хотя ничего страшного и нового в этом нет. Дуров пишет:
«Это работает только для текста, который был скопирован в буфер и вставлен оттуда, такие тексты в любом случае открыты для всех Mac-приложений. Приложения из AppStore НЕ имеют доступа к к syslog (начиная с 10.12 это также верно и для неподписанных приложений), но ЛЮБОЕ приложение может прочитать буфер обмена.
Приложения из AppStore работают в песочнице и могут только записывать в syslog, но не читать оттуда. Вредоносные приложения либо неподписанные, либо полученные не из AppStore, конечно, работают не в песочнице. Но это был бы game over сценарий. И хотя copy-paste в любом случае не может быть безопасным, я считаю, что такой логгинг в стабильном релизе — это излишне, и позабочусь о том, чтобы его убрали. В общем, если найдете что-нибудь действительно серьезное, дайте нам знать через security@telegram.org, чтобы оставить запрос на потенциальное вознаграждение. Спасибо».
@k_firsov (3)... AppStore apps are sandboxed and can only WRITE to syslog, not READ it: https://t.co/vjoU8QVtza pic.twitter.com/1tgPMDBfak
— Pavel Durov (@durov) July 24, 2016
Также Дуров добавил, что пользователям Mac вообще стоит воздержаться от применения copy-paste при работе с важными данными в любом приложении.
