Шифрование в мессенджере Telegram для ПК оказалось фикцией


Инженер из США Натаниэль Сачи (Nathaniel Suchy) обнаружил, что приложение Telegram Desktop не зашифровывает переписку пользователя.

Об этом он сообщил в своем Twitter. На открытие обратил внимание портал BleepingComputer.

«Telegram хранит ваши сообщения в незашифрованной базе данных SQLite. По крайней мере, мне не пришлось прилагать усилия, чтобы найти ключ в этот раз», — написал Сачи, сопроводив пост скриншотом.

Таким образом, программа формирует переписку в текстовые файлы, которые лежат в системе в открытом доступе. Версия Telegram Desktop поддерживает защиту паролем, чтобы предотвратить несанкционированный доступ к приложению, но этот параметр безопасности не предполагает шифрования.

Сачи также протестировал функцию «секретного чата». Оказалось, что все сообщения без исключения попадают в одну и ту же базу данных, независимо от того, получают ли они преимущество сквозного шифрования.

То же касается передаваемых в переписке медиафайлов. Инженеру потребовалось только изменить тип расширения изображения, чтобы просмотреть его в базе. Он выразил удивление в связи с тем, что шифрование Telegram не распространяется на локальную среду.

Сотрудники приложения пока никак не прокомментировали найденную уязвимость.

Несколько дней назад хакер Мэтт Суиче (Matt Suiche) обнаружил такую же уязвимость в приложении Signal. Он сообщил, что не ожидал такого провала от программы, обещающей безопасный обмен сообщениями.

В начале октября эксперты в области кибербезопасности обнаружили в Telegram уязвимость, из-за которой раскрывались IP-адреса пользователей. Это происходило во время звонков через мессенджер. Позднее владелец приложения Павел Дуров сообщил, что утечка затронула лишь малый процент пользователей.

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *