Десктопный клиент Telegram хранит чаты в незашифрованном виде

SMMSender

New member
Регистрация
26 Сен 2018
Сообщения
4
icoforum token
0
На прошлой неделе ][xakep
Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
о нескольких проблемах, которые специалисты по безопасности обнаружили в десктопных версиях мессенджера Signal.

Тогда одной из уязвимостей стал недочет, замеченный исследователем Нэйтаном Сёчи (
Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
). Оказалось, что во время установки Signal Desktop создает зашифрованную БД SQLite (db.sqlite), где хранит сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ хранится локально, в отрытом виде. На ПК его можно найти в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json. В итоге «вскрыть» базу и получить доступ к сообщениям можно без каких-либо усилий.


Теперь
Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
сообщает, что Сёчи решил проверить безопасность десктопного клиента Telegram и обнаружил в нем очень похожую проблему. Telegram Desktop тоже хранит чаты пользователя в локальной БД и к ним так же можно получить доступ поскольку они никак не защищены.

Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!


Сёчи рассказал журналистам, что прочитать содержимое SQLite-базы может быть немного сложно (см. иллюстрации ниже), однако база незашифрована. Кроме того, в БД можно обнаружить имена и номера телефонов, связанные друг с другом. И, наконец, самое скверное — по словам исследователя, в той же незащищенной базе оседают и переговоры из «секретных чатов».


Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!


Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!



Похожая ситуация наблюдается и с медиафайлами. Сёчи пишет, что достаточно было просто поменять расширение файла, и картинки стало возможно просматривать.

Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!


Хотя сам исследователь и представители BleepingComputer уже попытались связаться с разработчиками Telegram, пока никаких ответов и комментариев с их стороны получено не было.

UPD.

В русскоязычном Telegram-канале Павла Дурова появилось
Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
слов исследователя. Дуров утверждает, что находку Сёчи нельзя считать уязвимостью, раз эксплуатация бага предполагает, что преступник уже имеет доступ к компьютеру жертвы.
Отмечу, что говоря о «настоящих угрозах», Дуров ссылается на
Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
о баге в WhatsApp.

Для просмотра URL-ссылок и контента, нужны, Вход или Регистрация пожалуйста, выполните их!
 
Сверху