Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом уязвимости

Все сообщения хранятся в трудночитаемой, но не зашифрованной базе данных.

В закладки

Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.

Среди данных Сачи также нашёл имена и номера телефонов участников переписок, которые можно сопоставить. Студент утверждает, что также проверил «секретные чаты», работающие по принципу end-to-end-шифрования и выяснил, что эти сообщения тоже хранятся в открытом виде.

Как именно он проверил «секретные чаты» — не поясняется: в Telegram Desktop такой функции нет. Судя по скриншотам Сачи, он пользовался отдельной версией мессенджера для macOS, но позже студент уточнил, что проблема касается и полноценного Telegram Desktop для Windows.

Основатель мессенджера Павел Дуров не согласился с выводами Сачи. В своём Telegram-канале он отметил, что подобные вещи нельзя считать уязвимостью.

C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: «Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения».

Павел Дуров
основатель Telegram

В Твиттере многие отреагировали на находку Сачи похожим образом. В комментариях отметили, что если злоумышленники получили доступ к компьютеру — шифрование не имеет смысла, ведь ключи хранятся на том же диске.

@nathanielrsuchy @telegram If someone has access to your desktop it doesn't matter are your chats encrypted or not… https://t.co/uPbexBNU5R
«Если у кого-то есть доступ к твоему компьютеру, то уже неважно, зашифрованы твои чаты или нет, потому что ключ расшифровки хранится на твоём устройстве или требуется каждый раз для доступа к ним [сообщениям]»
@nathanielrsuchy @telegram This doesn't seem like a bug to me, it requires file system access so you can read the s… https://t.co/aSEEIVnR3H
«Мне это не кажется багом, потому что для чтения баз данных SQLite требуется доступ к файловой системе, Skype работает точно так же. Шифрование работает при передаче по сети, а не на твоём локальном компьютере. Если ты не можешь защитить свой компьютер — [шифрование] будет последней проблемой»

Похожую «уязвимость» находили и в других мессенджерах. Например, 22 октября её обнаружил в Signal французский хакер Мэтт Суиче (Matt Suiche). Он также рассказал, что в десктопной версии сообщения хранятся в открытом виде.

В ответ на это коммьюнити-менеджер Signal Джошуа Лунд (Joshua Lund) заявил, что локальное шифрование — это не то, чего компания хочет добиться в десктопной версии приложения. Как отметили в издании Bleeping Computer, такой аргумент справедлив и для Telegram: оба мессенджера ориентированы на то, чтобы сообщения не могли прослушать по пути от одного пользователя к другому — и справляются с этим.

В своём заявлении Дуров также раскритиковал российские СМИ, которые начали распространять новость о «несуществующей уязвимости» в Telegram. Он пояснил, что доступ к устройству «очевидно» позволяет злоумышленнику читать сообщения, но «завуалированное описание» может запутать человека, далёкого от технологий.

Дуров напомнил о похожем случае трёхлетней давности, когда в Telegram получили письмо, где сообщалось, что если злоумышленник получит root-доступ к Android-смартфону пользователя, то сообщения мессенджера станут небезопасными. Основатель Telegram тогда объяснил, что если каким-то образом к устройству получили root-доступ, то уже «нет смысла» обсуждать какой-либо уровень безопасности — хакер и так стал «богом» смартфона и может делать всё что угодно.

На новость об обнаружении «уязвимости» в Telegram обратили внимание российские СМИ — «Российская газета», «Код Дурова», «iGuides», «РИА», «Известия», «Телеканал 360», «Life», «Лента.ру». В большинстве изданий рассказали о находке Сачи как об опасной уязвимости. Только часть СМИ позже добавила комментарий Дурова или выпустила его отдельной заметкой. Кроме того, многие СМИ назвали Сачи «экспертом» или «исследователем», хотя он поступил на первый курс колледжа только в августе 2018 года.

Натаниэль Сачи. Фотография с личной страницы на Фейсбуке

Как некоторые российские СМИ написали новость о незашифрованных чатах в Telegram Desktop

  • «Опасная уязвимость в популярном мессенджере позволила читать переписки» — «Лента.ру», без комментария Дурова;
  • «Всё ещё сидите в Telegram? Готовьтесь к неприятностям» — «Российская газета», без комментария Дурова;
  • «Исследователь: десктопная версия Telegram имеет „серьёзную уязвимость“» — «Код Дурова», с комментарием Дурова;
  • «Найдена позволяющая читать переписки в Telegram уязвимость» — «Известия», без комментария Дурова;
  • «Telegram хранит переписку в незашифрованном виде. Павел Дуров: так и должно быть» — iGuides, с комментарием Дурова;
  • «Telegram хранил переписку пользователей в открытом доступе» — «Телеканал 360», без комментария Дурова, но с опровержением;
  • «В Telegram нашли уязвимость, позволяющую читать переписку» — «РИА Новости», без комментария Дурова;
  • «Эксперт: Telegram на самом деле не шифрует сообщения» — Life.ru, без комментария Дурова, но с опровержением.

#технологии #telegram #дуров #мессенджеры

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440\u044b","\u0434\u0443\u0440\u043e\u0432","telegram"], "comments": 304, "likes": 76, "favorites": 16, "is_advertisement": false, "subsite_label": "tech", "id": 79153, "is_wide": false, "is_ugc": false, "date": "Wed, 31 Oct 2018 17:44:00 +0300" }
Комментарии

Особый колос

6

Опасная уязвимость в популярном мессенджере позволила читать переписки

Эта опасная уязвимость не в мессенджере, а экран смартфона!

Логический историк

4

Учёные вылечили рак!

Естественный яд

7

Что за тупизм начался?
Еще недавно один "эксперд" скачал данные из телеграма и увидел там переписку, из чего сделал вывод, что нет защиты.
Теперь вот это.
Короче, если вы дали человеку ключи от квартиры, он открыл ее и украл ваши деньги, то у вас очень-очень-очень плохо защищенная дверь и никудышный замок!

Технологии
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления