Telegram уличили в хранении сообщений в незашифрованном виде

Telegram уличили в хранении сообщений в незашифрованном виде

Telegram использует незашифрованную базу данных SQLite для хранения сообщений.

image

Десктопная версия мессенджера Telegram не защищает должным образом переписку пользователя. Приложение хранит содержимое диалогов и медиафайлы локально в открытом виде.

Проблему обнаружил исследователь в области безопасности Натаниэль Сачи (Nathaniel Suchy), он смог прочитать базу данных приложения и сохраненные в ней сообщения. По его словам, Telegram «использует несколько сложную для прочтения, но незашифрованную базу данных SQLite для хранения сообщений».

Эксперт проанализировал БД, конвертировав данные в более удобный формат, и выявил имена и номера телефонов, которые могут быть связаны друг с другом. В десктопной версии Telegram реализована парольная защита, но данная опция не включает шифрование, что предоставляет возможность любому чрезмерно любопытному технически подкованному пользователю прочитать сообщения.

Сачи также протестировал функцию «секретных чатов». Как оказалось, все сообщения отправляются в ту же базу данных, будь они зашифрованные или нет. Аналогичная ситуация и с медиафайлами, которые защищены только с помощью обфускации. Исследователю удалось просмотреть изображения, изменив их расширение.

Ранее похожая недоработка была обнаружена в другом защищенном мессенджере - Signal. Оказалось, что приложение не обеспечивает должную защиту при обновлении с расширения для Chrome на десктопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • С Дуровым давно всё понятно. Продался за целковый буржуям турист.
  • Не хочу ни кого расстраивать, но десктопная версия не поддерживает "секретные чаты" в принципе. И поэтому "секретные чаты" не могут быть скомпрометированы из десктопной версии.
  • Меня больше расстраивает, что мосьё Дурóв обвинил российские СМИ в набросе, когда это публикует парень из США. И хрен с ним, с секретными чатами. Простая переписка не шифруется. К тому же, судя по скриншотам, он ковырнул МакОС версию. Может там секретки и есть, я хз.
Комментарии для сайта Cackle