Из-за багов в Telegram для Mac можно навсегда сохранять самоуничтожающиеся сообщения
ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.
Первый баг позволяет извлекать изображения, голосовые и видеозаписи и геопозицию из сообщений даже после того, как они самоликвидировались. Второй даёт доступ к мультимедийным файлам без необходимости открывать сообщения, в результате чего запускается команда на самоуничтожение.
Оба сценария связаны с тем, как Telegram сохраняет содержимое таких сообщений в кэше на устройствах под управлением macOS. Медиафайлы (кроме вложений) хранятся в папке, которая расположена по следующему пути: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media, где XXXXXX — уникальный номер учётной записи. Из этой папки они не удаляются и могут быть скопированы в любое место на жёстком диске.
Функция автоматического удаления сообщений доступна для секретных чатов, которые обеспечивают дополнительный уровень конфиденциальности в Telegram благодаря сквозному шифрованию. Она представляет собой таймер, который срабатывает по прошествии заданного юзером времени после прочтения сообщения собеседником, и оно бесследно исчезает с обоих устройств. Как выяснилось, не в случае macOS — в других операционных системах таких проблем нет.
Исследователи сообщили о багах команде Telegram, которая закрыла один из них в версии за номером 7.7. Сейчас владельцы «яблочных» компьютеров по-прежнему могут просматривать самоуничтожающиеся сообщения незаметно для отправителя. В Telegram сообщили, что исправить вторую уязвимость невозможно, поскольку никак нельзя защитить папку приложения от прямого доступа.
Исследователи с мессенджером не согласны. Они считают, что это вполне можно реализовать, если обрабатывать мультимедиа в самоудаляющихся сообщениях так же, как и вложения, и не загружать их на устройство, пока их не открыли.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.