Support us

Из-за багов в Telegram для Mac можно навсегда сохранять самоуничтожающиеся сообщения

ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.

Оставить комментарий
Из-за багов в Telegram для Mac можно навсегда сохранять самоуничтожающиеся сообщения

ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.

Первый баг позволяет извлекать изображения, голосовые и видеозаписи и геопозицию из сообщений даже после того, как они самоликвидировались. Второй даёт доступ к мультимедийным файлам без необходимости открывать сообщения, в результате чего запускается команда на самоуничтожение.

Оба сценария связаны с тем, как Telegram сохраняет содержимое таких сообщений в кэше на устройствах под управлением macOS. Медиафайлы (кроме вложений) хранятся в папке, которая расположена по следующему пути: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media, где XXXXXX — уникальный номер учётной записи. Из этой папки они не удаляются и могут быть скопированы в любое место на жёстком диске.

Функция автоматического удаления сообщений доступна для секретных чатов, которые обеспечивают дополнительный уровень конфиденциальности в Telegram благодаря сквозному шифрованию. Она представляет собой таймер, который срабатывает по прошествии заданного юзером времени после прочтения сообщения собеседником, и оно бесследно исчезает с обоих устройств. Как выяснилось, не в случае macOS — в других операционных системах таких проблем нет.

Исследователи сообщили о багах команде Telegram, которая закрыла один из них в версии за номером 7.7. Сейчас владельцы «яблочных» компьютеров по-прежнему могут просматривать самоуничтожающиеся сообщения незаметно для отправителя. В Telegram сообщили, что исправить вторую уязвимость невозможно, поскольку никак нельзя защитить папку приложения от прямого доступа.

Исследователи с мессенджером не согласны. Они считают, что это вполне можно реализовать, если обрабатывать мультимедиа в самоудаляющихся сообщениях так же, как и вложения, и не загружать их на устройство, пока их не открыли.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
3 комментария
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
«Сбер» попросил сотрудников удалить Telegram с рабочих гаджетов
1 комментарий
Telegram спросил немецких пользователей, изменить ли передачу персональных данных властям
Telegram спросил немецких пользователей, изменить ли передачу персональных данных властям
Telegram спросил немецких пользователей, изменить ли передачу персональных данных властям
1 комментарий
Apple взялась за расшифровку голосовых сообщений в Telegram
Apple взялась за расшифровку голосовых сообщений в Telegram
Apple взялась за расшифровку голосовых сообщений в Telegram
1 комментарий

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.