Telegram сохранял самоуничтожающиеся медиафайлы в секретных чатах

В популярном приложении для обмена сообщениями Telegram была обнаружена уязвимость в версии программы для macOS, нарушающая конфиденциальность пользователей. Проблема была выявлена исследователем безопасности Дхираджем Мишрой в версии приложения Telegram 7.3. Ее эксплуатация позволяла получать доступ к самоуничтожающимся аудио- и видеосообщениям спустя долгое время после их исчезновения из секретных чатов.

В отличие от Signal или WhatsApp, беседы в Telegram по умолчанию не зашифрованы, за исключением случаев, когда пользователи используют секретные чаты, сохраняющая данные в зашифрованном виде даже на серверах Telegram. Также в секретных чатах доступна возможность отправки самоуничтожающихся сообщений.

По словам исследователя, когда пользователь записывает и отправляет аудио- или видеосообщение через обычный чат, приложение передает точный путь, по которому записанное сообщение хранится в формате «.mp4». При включенной опции секретного чата информация о пути не передается, но записанное сообщение по-прежнему сохраняется в том же месте.

Даже в тех случаях, когда пользователь получает самоуничтожающееся сообщение в секретном чате, мультимедийное сообщение остается доступным в системе после его удаления с экрана чата.

«Telegram сообщает, что «суперсекретные» чаты не оставляют следов, но они хранят локальную копию таких сообщений по заданному пути», — пояснил Мишра.

Эксперт также обнаружил другую проблему в версии приложения Telegram для macOS, в связи с которой локальные пароли хранились в виде открытого текста в файле JSON, расположенном в папке «/ Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata./."

Обе уязвимости были исправлены в версии 7.4 (212543) Stable .