На прошлой неделе мы писали о нескольких проблемах, которые специалисты по безопасности обнаружили в десктопных версиях мессенджера Signal.

Тогда одной из уязвимостей стал недочет, замеченный исследователем Нэйтаном Сёчи (Nathaniel Suchy). Оказалось, что во время установки Signal Desktop создает зашифрованную БД SQLite (db.sqlite), где хранит сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ хранится локально, в отрытом виде. На ПК его можно найти в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json. В итоге «вскрыть» базу и получить доступ к сообщениям можно без каких-либо усилий.

Теперь BleepingComputer сообщает, что Сёчи решил проверить безопасность десктопного клиента Telegram и обнаружил в нем очень похожую проблему. Telegram Desktop тоже хранит чаты пользователя в локальной БД и к ним так же можно получить доступ поскольку они никак не защищены.

Сёчи рассказал журналистам, что прочитать содержимое SQLite-базы может быть немного сложно (см. иллюстрации ниже), однако база незашифрована. Кроме того, в БД можно обнаружить имена и номера телефонов, связанные друг с другом. И, наконец, самое скверное — по словам исследователя, в той же незащищенной базе оседают и переговоры из «секретных чатов».

Похожая ситуация наблюдается и с медиафайлами. Сёчи пишет, что достаточно было просто поменять расширение файла, и картинки стало возможно просматривать.

Хотя сам исследователь и представители BleepingComputer уже попытались связаться с разработчиками Telegram, пока никаких ответов и комментариев с их стороны получено не было.

UPD.

В русскоязычном Telegram-канале Павла Дурова появилось опровержение слов исследователя. Дуров утверждает, что находку Сёчи нельзя считать уязвимостью, раз эксплуатация бага предполагает, что преступник уже имеет доступ к компьютеру жертвы.
Отмечу, что говоря о «настоящих угрозах», Дуров ссылается на публикацию ][ о баге в WhatsApp.

6 комментариев

  1. Bo0oM

    31.10.2018 at 10:37

    Он еще в папку кэша не заглядывал 😀

  2. nm0t

    31.10.2018 at 11:18

    В Telegram desktop не поддерживает секретные чаты, что он там обнаружить умудрился

    • n3d.b0y

      31.10.2018 at 11:51

      Не могу сказать не чего за Windows и Linux но на Mac OS в desktop версии есть секретные чаты.

  3. 0d8bc7

    05.11.2018 at 21:48

    Возможно, Дуров просто не понимает, кто за что отвечает. Если ЧТО-ТО нвзывается безопасным или позиционируется как безопасное, то оно и должно реализовывать безопасность. А не быть безопасным исключительно в тепличных условиях 🙂

    • ivan_topoleff

      06.11.2018 at 12:46

      Прямой доступ к машине — от этого ничего не защитит. Если злоумышленник УЖЕ проник в систему, вся информация скомпрометирована, глупо кричать что «А ВОТ ТЕЛЕГРАМ НЕБЕЗОПАСЕН», когда вопрос в безопасности системы в целом.

      • 0d8bc7

        08.11.2018 at 09:26

        А легко ли сегодня защититься от прямого доступа к машине? Представь, что ты не смог, а тебе намекают или говорят прямым текстом, что ты сам виноват, что твои данные оказались в руках третьих лиц. По-твоему, это норм? 🙂

Оставить мнение