Десктопный Telegram уличили в хранении сообщений в незашифрованном виде

Telegram не защищает должным образом переписку пользователя

Компьютерная версия мессенджера Telegram не защищает должным образом переписку пользователя. Приложение хранит содержимое диалогов и медиафайлы локально в открытом виде.

Проблему обнаружил исследователь в области безопасности Натаниэль Сачи (Nathaniel Suchy), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».

Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.

Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.

Ранее похожая недоработка была обнаружена в другом защищенном мессенджере — Signal. Оказалось, что приложение не обеспечивает должную защиту при обновлении с расширения для Chrome на десктопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.

По материалам: SecurityLab

Один комментарий;

  1. Boris said:

    Приложение Desktop Telegram уличили в хранении переписки пользователей на их компьютерах без должной защиты, что может привести к краже сообщений хакерами.

*

Top