Telegram сохранял самоуничтожающиеся медиафайлы в секретных чатах
В популярном приложении для обмена сообщениями Telegram была обнаружена уязвимость в версии программы для macOS, нарушающая конфиденциальность пользователей. Проблема была выявлена исследователем безопасности Дхираджем Мишрой в версии приложения Telegram 7.3. Ее эксплуатация позволяла получать доступ к самоуничтожающимся аудио- и видеосообщениям спустя долгое время после их исчезновения из секретных чатов.
В отличие от Signal или WhatsApp, беседы в Telegram по умолчанию не зашифрованы, за исключением случаев, когда пользователи используют секретные чаты, сохраняющая данные в зашифрованном виде даже на серверах Telegram. Также в секретных чатах доступна возможность отправки самоуничтожающихся сообщений.
По словам исследователя, когда пользователь записывает и отправляет аудио- или видеосообщение через обычный чат, приложение передает точный путь, по которому записанное сообщение хранится в формате ".mp4". При включенной опции секретного чата информация о пути не передается, но записанное сообщение по-прежнему сохраняется в том же месте.
Даже в тех случаях, когда пользователь получает самоуничтожающееся сообщение в секретном чате, мультимедийное сообщение остается доступным в системе после его удаления с экрана чата.
"Telegram сообщает, что "суперсекретные" чаты не оставляют следов, но они хранят локальную копию таких сообщений по заданному пути", - пояснил Мишра.
Эксперт также обнаружил другую проблему в версии приложения Telegram для macOS, в связи с которой локальные пароли хранились в виде открытого текста в файле JSON, расположенном в папке "/ Users /
