Эксперты Trustwave обнаружили, что Telegram для Mac позволяет сохранять определенные самоуничтожающиеся сообщения из секретных чатов или просматривать их без ведома отправителя.
Исследователи пишут, что мультимедийные файлы (кроме вложений) сохраняются в папке кэша, расположенной по следующему пути, где XXXXXX — уникальный номер, связанный с конкретной учетной записью: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media.
При этом Telegram не будет загружать вложения (документы, включая, doc и pdf, а также аудио и видео), если получатель не попытается их открыть. Вероятно, это связано с размером файлов.
Когда получатель читает сообщение или просматривает его содержимое, запускается таймер самоуничтожения, после истечения которого содержимое сообщения автоматически удаляется. Однако обнаружилось, что самоуничтожающиеся медиа не удаляются из папки кеша, то есть пользователь свободно может сохранить их в другом месте.
Эту уязвимость в Telegram для macOS исправили в версии 7.7 (215786), после того как исследователи сообщили о ней разработчикам. Однако специалисты нашли дополнительную ошибку, которая так же позволяет сохранять самоуничтожающиеся медиа.
Поскольку голосовые и видеосообщения, изображения и данные о местоположении автоматически загружаются в кэш, пользователь может просто скопировать их оттуда перед просмотром в приложении.
«Боб отправляет Алисе мультимедийное сообщение (будь то голосовое или видеосообщение, изображение или данные о местоположении). Не открывая сообщение, поскольку оно может самоуничтожиться, Алиса идет в папку кеша и забирает оттуда медиафайл. Она также может удалить сообщение из папки, не читая его в приложении. При этом Боб не будет знать, прочитала ли Алиса сообщение, а Алиса сохранит постоянную копию медиафайла», — объясняют авторы доклада.
Разработчики Telegram сообщил исследователям, что вторая ошибка не будет исправлена, так как защититься от прямого доступа к папке приложения невозможно.
«Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах: https://telegram.org/faq#q-can-telegram-protect-me-against-everything», — заявили разработчики.
Исследователи не согласны с этим объяснением. По их мнению, Telegram может исправить ошибку, к примеру, обрабатывая все самоуничтожающиеся медиа так же, как вложения, то есть не загружая их в локальную файловую систему до тех пор, пока они не будут открыты.
