В мессенджере Telegram обнаружен баг, позволяющий сохранять самоуничтожающиеся сообщения. Об этом рассказал профильный ресурс TrustWave.
Речь идет только о версии для macOS. Оказалось, самоуничтожающиеся сообщения в Telegram не так уж и безопасны на Mac. По словам специалистов по кибербезопасности, в мессенджере допущена ошибка, которая позволяет собеседнику сохранять «исчезающие» медиафайлы и просматривать их после того, как они удалятся из чата.
Секретные чаты Telegram используют сквозное шифрование. Это означает, что ключи от переписки есть только у собеседников, а сама переписка не хранится на сервере — она расшифровывается в реальном времени на устройствах пользователей и хранится только на них. Однако каждое сообщение имеет свой идентификатор, что позволяет удалять его сразу у обоих собеседников.
То же касается и медиафайлов, которые отправляются с меткой «самоуничтожения». Они шифруются перед отправкой и расшифровываются в момент получения. После определенного заданного периода картинка или видео исчезает из чата — но, как оказалось, не бесследно.
Эксперты обнаружили, что самоуничтожающиеся файлы, присланные в секретных чатах на Mac-клиент, могут сохраняться в папку с кэшем и оставаться там неопределенное время. Автор статьи на TrustWave сообщил, что он обнаружил метки геолокации, аудио, видео и документы по этому пути:
/Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media
где ХХХХХХ обозначает персональный идентификатор конкретного чата.
В результате, по умолчанию все «исчезающие» медиафайлы из секретных чатов сохраняются в эту папку. Кроме того, при получении файла в чате его можно даже не просматривать, а сразу идти в указанную выше папку — таким образом отправитель не будет знать, что медиа просмотрено, а получатель еще и достает себе копию этого медиа.
Сразу после сообщения о баге разработчики Telegram устранили ошибку. Однако обходной способ «достать» файлы из исчезающего чата всё еще остался. Telegram решил не исправлять эту проблему и дал комментарий:
«Обратите внимание, что цель таймера самоуничтожения — простой способ автоматического удаления отдельных сообщений. Всегда есть несколько способов обойти такую функцию, которые выходят за рамки того, что Telegram может контролировать. Мы четко предупреждаем пользователей, что не сможем защитить их от всего на свете».
Ранее подобный баг появлялся в WhatsApp. Судя по всему, он уже исправлен.
В результате, по умолчанию все «исчезающие» медиафайлы из секретных чатов сохраняются в эту папку. Кроме того, при получении файла в чате его можно даже не просматривать, а сразу идти в указанную выше папку — таким образом отправитель не будет знать, что медиа просмотрено, а получатель еще и достает себе копию этого медиа.
Сразу после сообщения о баге разработчики Telegram устранили ошибку. Однако обходной способ «достать» файлы из исчезающего чата всё еще остался. Telegram решил не исправлять эту проблему и дал комментарий:
«Обратите внимание, что цель таймера самоуничтожения — простой способ автоматического удаления отдельных сообщений. Всегда есть несколько способов обойти такую функцию, которые выходят за рамки того, что Telegram может контролировать. Мы четко предупреждаем пользователей, что не сможем защитить их от всего на свете».
Ранее подобный баг появлялся в WhatsApp. Судя по всему, он уже исправлен.
