Jak ujawnił Dhiraj Mishra, Telegram w wersji 7.4 posiada lukę, przez którą pliki wysyłane w samokasujących się wiadomościach są w rzeczywistości zapisywane na komputerze. Problem dotyczy tylko użytkowników urządzeń z macOS.
Telegram nie taki bezpieczny? Luka pozwala dotrzeć do prywatnych wiadomości użytkowników komputerów Apple
W porównaniu do Messengera czy WhatsAppa, Telegram uznawany jest za komunikator internetowy, który szanuje prywatność użytkowników. Widać to przede wszystkim porównaniu danych, które przetwarza o osobach z niego korzystających. Dużą popularność komunikator zyskał po ogłoszeniu przez WhatsApp, że wszystkie informacje zebrane przez aplikacje trafią do Facebooka. Wiele osób przeniosło się wtedy właśnie na Telegram czy Singal, dzięki czemu ten pierwszy komunikator może dziś pochwalić się bazą ponad 500 mln użytkowników. Jak się okazuje jednak, nie zawsze zapewnia on pełne bezpieczeństwo osobom z niego korzystającym.
Część wiadomość użytkowników Maców Telegram przechowywał lokalnie
Na tę lukę w bezpieczeństwie aplikacji natknął się Dhiraj Mishra, zajmujący się cyberbezpieczeństwem. Zauważył on, że "Sekretny Czat" na urządzeniu z macOS, który posiada szyfrowanie end-to-end, wcale nie jest tak bezpieczny. Okazuje się bowiem, że wszystkie pliki przesłane przez niego wcale nie są automatycznie usuwane. Wręcz przeciwnie, komunikator tworzy ich kopie lokalną na komputerze. Oprócz tego pod adresem: "/Users/<user_name>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/." program przechowuje hasło, które użytkownik ustawił. Oznacza to, że możliwe jest, by ktoś, kto włamie się na nasz komputer, może prześledzić, jakie informacje wymienialiśmy przez telegram. Sam Mishra opisuje lukę w ten sposób:
Telegram says ‘super secret’ chats do not leave traces, but it stores the local copy of such messages under a custom path. During my assessment, I found that self-destructed messages, in this case, recorded audio/video messages, are actually never deleted and leave a local copy under a custom/sandbox path. The recorded audio/video message gets stored in mp4 or mov formats, and still remains even after a user delete for everyone from the normal chat.
Oczywiście, samo wykorzystanie luki (której Telegram wciąż nie załatał) jest raczej trudne, a opłacalność jakiegokolwiek ataku z zewnątrz właśnie w celu przejęcia wspomnianych danych - znikoma. Jednak sam fakt, że Telegram reklamuje się jako bezpieczny komunikator, zostawiając jednocześnie na komputerze użytkownika bez jego wiedzy dane, które on chciałby usunąć (w końcu po to używa sekretnego czatu) budzi nieco wątpliwości odnośnie tego, jak bezpieczny on faktycznie jest.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu