Десктопный клиент Telegram хранит чаты в незашифрованном виде

На прошлой неделе мы писали о нескольких проблемах, которые специалисты по безопасности обнаружили в десктопных версиях мессенджера Signal.

Тогда одной из уязвимостей стал недочет, замеченный исследователем Нэйтаном Сёчи (Nathaniel Suchy). Оказалось, что во время установки Signal Desktop создает зашифрованную БД SQLite (db.sqlite), где хранит сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ хранится локально, в отрытом виде. На ПК его можно найти в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json. В итоге «вскрыть» базу и получить доступ к сообщениям можно без каких-либо усилий.

Теперь BleepingComputer сообщает, что Сёчи решил проверить безопасность десктопного клиента Telegram и обнаружил в нем очень похожую проблему. Telegram Desktop тоже хранит чаты пользователя в локальной БД и к ним так же можно получить доступ поскольку они никак не защищены.

Сёчи рассказал журналистам, что прочитать содержимое SQLite-базы может быть немного сложно (см. иллюстрации ниже), однако база незашифрована. Кроме того, в БД можно обнаружить имена и номера телефонов, связанные друг с другом. И, наконец, самое скверное — по словам исследователя, в той же незащищенной базе оседают и переговоры из «секретных чатов».

Похожая ситуация наблюдается и с медиафайлами. Сёчи пишет, что достаточно было просто поменять расширение файла, и картинки стало возможно просматривать.

Хотя сам исследователь и представители BleepingComputer уже попытались связаться с разработчиками Telegram, пока никаких ответов и комментариев с их стороны получено не было.

UPD.

В русскоязычном Telegram-канале Павла Дурова появилось опровержение слов исследователя. Дуров утверждает, что находку Сёчи нельзя считать уязвимостью, раз эксплуатация бага предполагает, что преступник уже имеет доступ к компьютеру жертвы.
Отмечу, что говоря о "настоящих угрозах", Дуров ссылается на публикацию ][ о баге в WhatsApp.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (6)

  • Возможно, Дуров просто не понимает, кто за что отвечает. Если ЧТО-ТО нвзывается безопасным или позиционируется как безопасное, то оно и должно реализовывать безопасность. А не быть безопасным исключительно в тепличных условиях :-)

    • Прямой доступ к машине - от этого ничего не защитит. Если злоумышленник УЖЕ проник в систему, вся информация скомпрометирована, глупо кричать что "А ВОТ ТЕЛЕГРАМ НЕБЕЗОПАСЕН", когда вопрос в безопасности системы в целом.

      • А легко ли сегодня защититься от прямого доступа к машине? Представь, что ты не смог, а тебе намекают или говорят прямым текстом, что ты сам виноват, что твои данные оказались в руках третьих лиц. По-твоему, это норм? :-)

  • В Telegram desktop не поддерживает секретные чаты, что он там обнаружить умудрился

    • Не могу сказать не чего за Windows и Linux но на Mac OS в desktop версии есть секретные чаты.