Уязвимость позволяла получать доступ к самоуничтожающимся аудио- и видеосообщениям спустя долгое время после их исчезновения.
https://www.securitylab.ru/upload/ib...1ce229b156.png
В популярном приложении для обмена сообщениями Telegram была обнаружена уязвимость в версии программы для macOS, нарушающая конфиденциальность пользователей. Проблема была выявлена исследователем безопасности Дхираджем Мишрой в версии приложения Telegram 7.3. Ее эксплуатация позволяла получать доступ к самоуничтожающимся аудио- и видеосообщениям спустя долгое время после их исчезновения из секретных чатов.
В отличие от Signal или WhatsApp, беседы в Telegram по умолчанию не зашифрованы, за исключением случаев, когда пользователи используют секретные чаты, сохраняющая данные в зашифрованном виде даже на серверах Telegram. Также в секретных чатах доступна возможность отправки самоуничтожающихся сообщений.
По словам исследователя, когда пользователь записывает и отправляет аудио- или видеосообщение через обычный чат, приложение передает точный путь, по которому записанное сообщение хранится в формате «.mp4». При включенной опции секретного чата информация о пути не передается, но записанное сообщение по-прежнему сохраняется в том же месте.
Даже в тех случаях, когда пользователь получает самоуничтожающееся сообщение в секретном чате, мультимедийное сообщение остается доступным в системе после его удаления с экрана чата.
«Telegram сообщает, что «суперсекретные» чаты не оставляют следов, но они хранят локальную копию таких сообщений по заданному пути», — пояснил Мишра.
Эксперт также обнаружил другую проблему в версии приложения Telegram для macOS, в связи с которой локальные пароли хранились в виде открытого текста в файле JSON, расположенном в папке «/ Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata./."