Из-за багов в Telegram для Mac можно навсегда сохранять самоуничтожающиеся сообщения

Первый баг позволяет извлекать изображения, голосовые и видеозаписи и геопозицию из сообщений даже после того, как они самоликвидировались. Второй даёт доступ к мультимедийным файлам без необходимости открывать сообщения, в результате чего запускается команда на самоуничтожение.

Оба сценария связаны с тем, как Telegram сохраняет содержимое таких сообщений в кэше на устройствах под управлением macOS. Медиафайлы (кроме вложений) хранятся в папке, которая расположена по следующему пути: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media, где XXXXXX — уникальный номер учётной записи. Из этой папки они не удаляются и могут быть скопированы в любое место на жёстком диске.

Функция автоматического удаления сообщений доступна для секретных чатов, которые обеспечивают дополнительный уровень конфиденциальности в Telegram благодаря сквозному шифрованию. Она представляет собой таймер, который срабатывает по прошествии заданного юзером времени после прочтения сообщения собеседником, и оно бесследно исчезает с обоих устройств. Как выяснилось, не в случае macOS — в других операционных системах таких проблем нет.

Исследователи сообщили о багах команде Telegram, которая закрыла один из них в версии за номером 7.7. Сейчас владельцы «яблочных» компьютеров по-прежнему могут просматривать самоуничтожающиеся сообщения незаметно для отправителя. В Telegram сообщили, что исправить вторую уязвимость невозможно, поскольку никак нельзя защитить папку приложения от прямого доступа.

Исследователи с мессенджером не согласны. Они считают, что это вполне можно реализовать, если обрабатывать мультимедиа в самоудаляющихся сообщениях так же, как и вложения, и не загружать их на устройство, пока их не открыли.