Опасная уязвимость в популярном мессенджере позволила читать переписки

Инженер из США Натаниэль Сачи (Nathaniel Suchy) обнаружил, что приложение Telegram Desktop не зашифровывает переписку пользователя. Об этом он сообщил в своем Twitter. На открытие обратил внимание портал BleepingComputer.

«Telegram хранит ваши сообщения в незашифрованной базе данных SQLite. По крайней мере, мне не пришлось прилагать усилия, чтобы найти ключ в этот раз», — написал Сачи, сопроводив пост скриншотом.

Таким образом, программа формирует переписку в текстовые файлы, которые лежат в системе в открытом доступе. Версия Telegram Desktop поддерживает защиту паролем, чтобы предотвратить несанкционированный доступ к приложению, но этот параметр безопасности не предполагает шифрования.

Сачи также протестировал функцию «секретного чата». Оказалось, что все сообщения без исключения попадают в одну и ту же базу данных, независимо от того, получают ли они преимущество сквозного шифрования.

То же касается передаваемых в переписке медиафайлов. Инженеру потребовалось только изменить тип расширения изображения, чтобы просмотреть его в базе. Он выразил удивление в связи с тем, что шифрование Telegram не распространяется на локальную среду.

Сотрудники приложения пока никак не прокомментировали найденную уязвимость.

Несколько дней назад хакер Мэтт Суиче (Matt Suiche) обнаружил такую же уязвимость в приложении Signal. Он сообщил, что не ожидал такого провала от программы, обещающей безопасный обмен сообщениями.

В начале октября эксперты в области кибербезопасности обнаружили в Telegram уязвимость, из-за которой раскрывались IP-адреса пользователей. Это происходило во время звонков через мессенджер. Позднее владелец приложения Павел Дуров сообщил, что утечка затронула лишь малый процент пользователей.

Больше важных новостей в Telegram-канале «Лента дня». Подписывайтесь!


Интернет и СМИ00:01Сегодня

«Услышав ее, враги дрожали от страха»

Она была лицом Северной Кореи и пугала Запад ядерными ракетами. А теперь исчезла