Telegram Desktop теж локально зберігає листування в доступному вигляді

Ніколи такого не було, і ось знову…
Дослідник із США Натаніель Сачи виявив, що додаток Telegram Desktop не захищає шифруванням локальну копію листування користувача:

Telegram зберігає ваші повідомлення в незашифрованому базі даних SQLite. Принаймні, мені не довелося докладати зусиль, щоб знайти ключ в цей раз. Хоча [повідомлення] досить важко переглядати (напевно, треба написати якийсь допоміжний скрипт на python?) — це дуже схоже на проблему з Signal

While it’s somewhat difficult to sift through (write some capable python scripts?) – similar to the issue with Signal – @telegram stores your messages in an unencrypted SQLite database. At least I didn’t have to go through the effort to find the key this time :)) pic.twitter.com/gTRpSKVQAM

— Nathaniel Suchy (@nathanielrsuchy) October 30, 2018

Натаніель Сачи перевірив і функцію «секретного чату». З’ясувалося, що повідомлення з секретного чату потрапляють у відкритому вигляді в ту ж базу даних, що і звичайні повідомлення. Тобто хоча передача даних для секретних чатів досить добре захищена, локальна копія повідомлень з таких чатів локально зберігається без будь-якого захисту. Цей момент викликає сумніви.

Yup, while password protection is enabled. This shows that despite being a password set. A motivated attacker can simply pull the messages without needing to decrypt them. It’s like the libssh bug: Knock knock, can I come in, I can come in, i’m in; except like with Telegram 🙂

— Nathaniel Suchy (@nathanielrsuchy) October 30, 2018

Telegram Desktop підтримує встановлення локального пін-коду для запобігання несанкціонованому доступу до запущеного додатку, але ця функція не передбачає ніякого додаткового захисту для локальної бази даних SQLite з історією повідомлень.

Читайте також  Головоломка «My Test Patience» від Check Point Security Academy

медіафайли. Єдина ступінь захисту їх від сторонніх очей — обфускація. Сачи знадобилося лише змінити розширення файлу, щоб переглянути фото, надіслане в чат.

Джерело: www.anti-malware.ru/news/2018-10-31-1447/27905

Нагадаю, кілька днів тому хакер Метью Сюиш виявив аналогічну проблему з відсутністю захисту локальної бази історії повідомлень у додатку Signal.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *