Павел Дуров опроверг уязвимость десктоп версии Telegram

By | 31 октября, 2018

Павел Дуров опроверг найденную Натаниэлем Сачи уязвимость в десктопной версии мессенджера Telegram.

Вчера Натаниэль Сачи, Исследователь в области кибербезопасности заявил о нахождении уязвимости в Telegram, сообщив что десктопная версия хранит всю переписку пользователя на локальном диске в незашифрованном виде:

«Защищенные паролем или нет, ваши @telegram сообщения принадлежат мне»

Password protected or not your @telegram messages belong to me #pwned #bugbounty #fulldisclosure #infosec :))) pic.twitter.com/CEGve6SpGi

— Nathaniel Suchy (@nathanielrsuchy) October 30, 2018

Таким образом, как утверждает исследователь по защите информации, злоумышленник может получить доступ к сообщениям пользователя десктопной версии.

Павел Дуров в комментарии изданию «Код Дурова» опроверг уязвимость:

«Это не уязвимость. Это размышление на тему, «если бы я имел полный доступ к вашему компьютеру, я смог бы прочитать вашу переписку»

Также представители мессенджера Signal отметили, что это не является проблемой для защиты данных:

«Отключенное шифрование — это не то, что пытается предоставить десктопное приложение. То же самое касается и Telegram; оба приложения стремятся предложить общение, которое нельзя подслушивать, и они с этим успешно справляются»

Сачи, тем не менее утверждает, что все сообщения, даже из «секретных чатов» попадают в одну базу данных. Прикрепленные изображения также можно просматривать, изменив тип расширения изображений. Эксперт предлагает устанавливать на приложение пароль, который хоть как-то поможет защитить информацию.

Примечательно, что 22-го октября хакер Мэтт Суиче обнаружил схожую уязвимость в приложении Signal:

«Я не в порядке, или после обновления десктопной версии Signal, приложение сохраняет все сообщения простым текстовым файлом (messages.json) + вложения на локальном диске, что вы можете перенести их в более новую версию? #провал #wtf «

Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) + attachments locally so you can re-import them in the newer version? #fail #wtf

— Matt Suiche (@msuiche) October 21, 2018

Напомним, что в августе стартап Virgil Security, занимающийся обеспечением кибербезопасности, выявил несколько уязвимостей в новом приложении для удостоверения личности, Telegram Passport.

Тем временем, Telegram может запустить тестовую версию блокчейн-платформы Telegram Open Network (TON) до конца осени, а борьба российских властей с мессенджером все еще продолжается.

Источник: bitnovosti.com

Новое сообщение Павел Дуров опроверг уязвимость десктоп версии Telegram появилось на КриптоВики.

КриптоВики
Автор: admin

Поделиться ссылкой

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *