Павел Дуров опроверг найденную Натаниэлем Сачи уязвимость в десктопной версии мессенджера Telegram.
Вчера Натаниэль Сачи, Исследователь в области кибербезопасности заявил о нахождении уязвимости в Telegram, сообщив что десктопная версия хранит всю переписку пользователя на локальном диске в незашифрованном виде:
«Защищенные паролем или нет, ваши @telegram сообщения принадлежат мне»
Password protected or not your @telegram messages belong to me #pwned #bugbounty #fulldisclosure #infosec :))) pic.twitter.com/CEGve6SpGi
— Nathaniel Suchy (@nathanielrsuchy) October 30, 2018
Таким образом, как утверждает исследователь по защите информации, злоумышленник может получить доступ к сообщениям пользователя десктопной версии.
Павел Дуров в комментарии изданию «Код Дурова» опроверг уязвимость:
«Это не уязвимость. Это размышление на тему, «если бы я имел полный доступ к вашему компьютеру, я смог бы прочитать вашу переписку»
Также представители мессенджера Signal отметили, что это не является проблемой для защиты данных:
«Отключенное шифрование — это не то, что пытается предоставить десктопное приложение. То же самое касается и Telegram; оба приложения стремятся предложить общение, которое нельзя подслушивать, и они с этим успешно справляются»
Сачи, тем не менее утверждает, что все сообщения, даже из «секретных чатов» попадают в одну базу данных. Прикрепленные изображения также можно просматривать, изменив тип расширения изображений. Эксперт предлагает устанавливать на приложение пароль, который хоть как-то поможет защитить информацию.
Примечательно, что 22-го октября хакер Мэтт Суиче обнаружил схожую уязвимость в приложении Signal:
«Я не в порядке, или после обновления десктопной версии Signal, приложение сохраняет все сообщения простым текстовым файлом (messages.json) + вложения на локальном диске, что вы можете перенести их в более новую версию? #провал #wtf «
Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) + attachments locally so you can re-import them in the newer version? #fail #wtf
— Matt Suiche (@msuiche) October 21, 2018
Напомним, что в августе стартап Virgil Security, занимающийся обеспечением кибербезопасности, выявил несколько уязвимостей в новом приложении для удостоверения личности, Telegram Passport.
Тем временем, Telegram может запустить тестовую версию блокчейн-платформы Telegram Open Network (TON) до конца осени, а борьба российских властей с мессенджером все еще продолжается.
Источник: bitnovosti.com
Новое сообщение Павел Дуров опроверг уязвимость десктоп версии Telegram появилось на КриптоВики.
КриптоВики
Автор: admin
