У десктопній версії Telegram знайшли уразливість, яка дозволяє читати листування

31 жовтня 2018, 16:05

Telegram Desktop не дозволяє локально захищати вміст чату і надає доступ до звичайних текстових повідомлень і медіа, які зазвичай є зашифрованими.

Повідомлення зберігаються в незашифрованій базі даних SQLite, пише Bleeping Computer.

"Telegram зберігає ваші повідомлення у незашифрованій базі даних SQLite. Принаймні, мені не довелося докладати зусиль, щоб знайти ключ на цей раз", - написав американський інженер Натаніель Сачи, який виявив уразливість. За його словами, Telegram використовує "трохи важку для читання, але в іншому не зашифровану базу даних SQLite".

Відео дня

Натаніель Сачи також зазначив, що мультимедійні дані і "секретний чат" також потрапляють в цю базу. Таким чином, всі повідомлення без винятку потрапляють в одну і ту ж базу даних, незалежно від того, чи отримують вони перевагу наскрізного шифрування.

Сачи також знайшов імена та номери телефонів, які в теорії можуть бути зіставлені один з одним. Проте, цю інформацію непросто читати, але призначені для користувача скрипти можуть допомогти зробити такі деталі більш зрозумілими і автоматизувати витяг.

Telegram Desktop підтримує захист паролем, щоб запобігти несанкціонованому доступу до додатка, але цей параметр безпеки не додає шифрування. Надмірно цікавий користувач вашого комп'ютера все ще може читати ваші чати.

Захист даних, збережених локально, можливий шляхом включення повного шифрування диска з операційної системи. Це є в Windows через BitLocker, на macOS через FileVault; ця функція присутня і в Linux, а деякі дистрибутиви великого розміру роблять її доступною під час процедури установки.

"C технічної точки зору твердження того, хто заявив про уразливість зводиться до наступного: "Якби б у мене був доступ до Вашого комп'ютера, я б зміг прочитати Ваші повідомлення". Само по собі це твердження очевидно", - прокоментував повідомлення про уразливість творець Telegram Павло Дуров.

Раніше НВ повідомляло, що експерти зафіксували витік IP-адрес користувачів під час дзвінків через мессенжер Telegram через тимчасові системи сервера P2P. Компанія вже усунула цей недолік в двох останніх оновленнях.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X