Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом уязвимости Материал редакции

Все сообщения хранятся в трудночитаемой, но не зашифрованной базе данных.

В закладки

Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.

Среди данных Сачи также нашёл имена и номера телефонов участников переписок, которые можно сопоставить. Студент утверждает, что также проверил «секретные чаты», работающие по принципу end-to-end-шифрования и выяснил, что эти сообщения тоже хранятся в открытом виде.

Как именно он проверил «секретные чаты» — не поясняется: в Telegram Desktop такой функции нет. Судя по скриншотам Сачи, он пользовался отдельной версией мессенджера для macOS, но позже студент уточнил, что проблема касается и полноценного Telegram Desktop для Windows.

Основатель мессенджера Павел Дуров не согласился с выводами Сачи. В своём Telegram-канале он отметил, что подобные вещи нельзя считать уязвимостью.

C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: «Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения».

Павел Дуров
основатель Telegram

В Твиттере многие отреагировали на находку Сачи похожим образом. В комментариях отметили, что если злоумышленники получили доступ к компьютеру — шифрование не имеет смысла, ведь ключи хранятся на том же диске.

@nathanielrsuchy @telegram If someone has access to your desktop it doesn't matter are your chats encrypted or not… https://t.co/uPbexBNU5R
«Если у кого-то есть доступ к твоему компьютеру, то уже неважно, зашифрованы твои чаты или нет, потому что ключ расшифровки хранится на твоём устройстве или требуется каждый раз для доступа к ним [сообщениям]»
@nathanielrsuchy @telegram This doesn't seem like a bug to me, it requires file system access so you can read the s… https://t.co/aSEEIVnR3H
«Мне это не кажется багом, потому что для чтения баз данных SQLite требуется доступ к файловой системе, Skype работает точно так же. Шифрование работает при передаче по сети, а не на твоём локальном компьютере. Если ты не можешь защитить свой компьютер — [шифрование] будет последней проблемой»

Похожую «уязвимость» находили и в других мессенджерах. Например, 22 октября её обнаружил в Signal французский хакер Мэтт Суиче (Matt Suiche). Он также рассказал, что в десктопной версии сообщения хранятся в открытом виде.

В ответ на это коммьюнити-менеджер Signal Джошуа Лунд (Joshua Lund) заявил, что локальное шифрование — это не то, чего компания хочет добиться в десктопной версии приложения. Как отметили в издании Bleeping Computer, такой аргумент справедлив и для Telegram: оба мессенджера ориентированы на то, чтобы сообщения не могли прослушать по пути от одного пользователя к другому — и справляются с этим.

В своём заявлении Дуров также раскритиковал российские СМИ, которые начали распространять новость о «несуществующей уязвимости» в Telegram. Он пояснил, что доступ к устройству «очевидно» позволяет злоумышленнику читать сообщения, но «завуалированное описание» может запутать человека, далёкого от технологий.

Дуров напомнил о похожем случае трёхлетней давности, когда в Telegram получили письмо, где сообщалось, что если злоумышленник получит root-доступ к Android-смартфону пользователя, то сообщения мессенджера станут небезопасными. Основатель Telegram тогда объяснил, что если каким-то образом к устройству получили root-доступ, то уже «нет смысла» обсуждать какой-либо уровень безопасности — хакер и так стал «богом» смартфона и может делать всё что угодно.

На новость об обнаружении «уязвимости» в Telegram обратили внимание российские СМИ — «Российская газета», «Код Дурова», «iGuides», «РИА», «Известия», «Телеканал 360», «Life», «Лента.ру». В большинстве изданий рассказали о находке Сачи как об опасной уязвимости. Только часть СМИ позже добавила комментарий Дурова или выпустила его отдельной заметкой. Кроме того, многие СМИ назвали Сачи «экспертом» или «исследователем», хотя он поступил на первый курс колледжа только в августе 2018 года.

Натаниэль Сачи. Фотография с личной страницы на Фейсбуке

Как некоторые российские СМИ написали новость о незашифрованных чатах в Telegram Desktop

  • «Опасная уязвимость в популярном мессенджере позволила читать переписки» — «Лента.ру», без комментария Дурова;
  • «Всё ещё сидите в Telegram? Готовьтесь к неприятностям» — «Российская газета», без комментария Дурова;
  • «Исследователь: десктопная версия Telegram имеет „серьёзную уязвимость“» — «Код Дурова», с комментарием Дурова;
  • «Найдена позволяющая читать переписки в Telegram уязвимость» — «Известия», без комментария Дурова;
  • «Telegram хранит переписку в незашифрованном виде. Павел Дуров: так и должно быть» — iGuides, с комментарием Дурова;
  • «Telegram хранил переписку пользователей в открытом доступе» — «Телеканал 360», без комментария Дурова, но с опровержением;
  • «В Telegram нашли уязвимость, позволяющую читать переписку» — «РИА Новости», без комментария Дурова;
  • «Эксперт: Telegram на самом деле не шифрует сообщения» — Life.ru, без комментария Дурова, но с опровержением.
{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440\u044b","\u0434\u0443\u0440\u043e\u0432","telegram"], "comments": 300, "likes": 76, "favorites": 16, "is_advertisement": false, "subsite_label": "tech", "id": 79153, "is_wide": false, "is_ugc": false, "date": "Wed, 31 Oct 2018 17:44:00 +0300", "is_special": false }
Комментарии

Обыкновенный пистолет

4

Учёные вылечили рак!

Плотный шар

4

Дуров не увидел в этом уязвимости...

... всё дело во фрагментации, просто верьте мне, - добавил он, и разделся

Русский химик

15

Один заголовок охуительней другого, пиздец

Технологии
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Новости
Калифорния станет первым американским штатом, где запретят продажу новых изделий из меха
Запрет вступит в силу в 2023 году.
Новости
СМИ: Повар Путина мог находиться на борту рухнувшего в Конго «Ан-72»
Издание Readovka со ссылкой на собственные источники, близкие к ЧВК «Вагнера», в воскресенье вечером, 13 октября, сообщило об исчезновении бизнесмена Евгения Пригожина после крушения самолета в республике Конго.
Разборы
Инструкция: как начать сортировать мусор, живя в России
Личный опыт жителей разных стран, опрошенных TJ, и сборник советов для начинающих.
Популярное за три дня
Новости
Власти США приостановили ICO Дурова и подали иск против Telegram из-за «незаконной продажи токенов» на 1,7 млрд долларов
Американский регулятор выступил против попытки компании «наводнить рынок» своей криптовалютой.
Интернет и мемы
Детальный Краснодар, большой куриный коллайдер и вырождение космоса: масштабные и абсурдные проекты в Minecraft
Никогда не поздно удариться в пиксельно-кубическое творчество или объяснять школьникам устройство вселенной.
Разборы
Как работает розничный магазин, и что можно и нельзя делать продавцу и покупателю
Рассказывает сотрудник московского магазина электроники.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]