Твитнуть
В Telegram обнаружили новую уязвимость: десктопная версия мессенджера не защищает переписку пользователя должным образом.
Telegram использует незашифрованную базу данных SQLite для хранения сообщений. Приложение хранит содержимое диалогов и медиафайлы локально в открытом виде.
Проблему обнаружил (https://twitter.com/nathanielrsuchy) исследователь в области безопасности Натаниэль Сачи (чекните его twitter (https://twitter.com/nathanielrsuchy), если нужно больше пруфов), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».
Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.
Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.
Подробнее на: securitylab.ru / anti-malware.ru
Telegram использует незашифрованную базу данных SQLite для хранения сообщений. Приложение хранит содержимое диалогов и медиафайлы локально в открытом виде.
Проблему обнаружил (https://twitter.com/nathanielrsuchy) исследователь в области безопасности Натаниэль Сачи (чекните его twitter (https://twitter.com/nathanielrsuchy), если нужно больше пруфов), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».
Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.
Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.
Подробнее на: securitylab.ru / anti-malware.ru
Комментарий