Российский специалист по информационной безопасности Кирилл Фирсов заметил странное поведение мессенджера Telegram. Оказалось, что macOS «протоколирует» в syslog все, что пользователь вставляет в чаты из буфера обмена, даже если это были «секретные» чаты.

Фирсов обнаружил проблему в конце прошлой недели, о чем и сообщил у себя в Twitter. Там же исследователь поинтересовался у Павла Дурова, чем обусловлено такое поведение защищенного мессенджера.

Павел Дуров ответил исследователю, в серии твитов он объяснил, что такая уязвимость действительно существует, хотя ничего страшного и нового в этом нет. Дуров пишет:

«Это работает только для текста, который был скопирован в буфер и вставлен оттуда, такие тексты в любом случае открыты для всех Mac-приложений. Приложения из AppStore НЕ имеют доступа к к syslog (начиная с 10.12 это также верно и для неподписанных приложений), но ЛЮБОЕ приложение может прочитать буфер обмена.

Приложения из AppStore работают в песочнице и могут только записывать в syslog, но не читать оттуда. Вредоносные приложения либо неподписанные, либо полученные не из AppStore, конечно, работают не в песочнице. Но это был бы game over сценарий. И хотя copy-paste в любом случае не может быть безопасным, я считаю, что такой логгинг в стабильном релизе — это излишне, и позабочусь о том, чтобы его убрали. В общем, если найдете что-нибудь действительно серьезное, дайте нам знать через security@telegram.org, чтобы оставить запрос на потенциальное вознаграждение. Спасибо».

Также Дуров добавил, что пользователям Mac вообще стоит воздержаться от применения copy-paste при работе с важными данными в любом приложении.



Оставить мнение