Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом уязвимости

Все сообщения хранятся в трудночитаемой, но не зашифрованной базе данных.

Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.

Среди данных Сачи также нашёл имена и номера телефонов участников переписок, которые можно сопоставить. Студент утверждает, что также проверил «секретные чаты», работающие по принципу end-to-end-шифрования и выяснил, что эти сообщения тоже хранятся в открытом виде.

Как именно он проверил «секретные чаты» — не поясняется: в Telegram Desktop такой функции нет. Судя по скриншотам Сачи, он пользовался отдельной версией мессенджера для macOS, но позже студент уточнил, что проблема касается и полноценного Telegram Desktop для Windows.

Основатель мессенджера Павел Дуров не согласился с выводами Сачи. В своём Telegram-канале он отметил, что подобные вещи нельзя считать уязвимостью.

В Твиттере многие отреагировали на находку Сачи похожим образом. В комментариях отметили, что если злоумышленники получили доступ к компьютеру — шифрование не имеет смысла, ведь ключи хранятся на том же диске.

Похожую «уязвимость» находили и в других мессенджерах. Например, 22 октября её обнаружил в Signal французский хакер Мэтт Суиче (Matt Suiche). Он также рассказал, что в десктопной версии сообщения хранятся в открытом виде.

В ответ на это коммьюнити-менеджер Signal Джошуа Лунд (Joshua Lund) заявил, что локальное шифрование — это не то, чего компания хочет добиться в десктопной версии приложения. Как отметили в издании Bleeping Computer, такой аргумент справедлив и для Telegram: оба мессенджера ориентированы на то, чтобы сообщения не могли прослушать по пути от одного пользователя к другому — и справляются с этим.

В своём заявлении Дуров также раскритиковал российские СМИ, которые начали распространять новость о «несуществующей уязвимости» в Telegram. Он пояснил, что доступ к устройству «очевидно» позволяет злоумышленнику читать сообщения, но «завуалированное описание» может запутать человека, далёкого от технологий.

Дуров напомнил о похожем случае трёхлетней давности, когда в Telegram получили письмо, где сообщалось, что если злоумышленник получит root-доступ к Android-смартфону пользователя, то сообщения мессенджера станут небезопасными. Основатель Telegram тогда объяснил, что если каким-то образом к устройству получили root-доступ, то уже «нет смысла» обсуждать какой-либо уровень безопасности — хакер и так стал «богом» смартфона и может делать всё что угодно.

На новость об обнаружении «уязвимости» в Telegram обратили внимание российские СМИ — «Российская газета», «Код Дурова», «iGuides», «РИА», «Известия», «Телеканал 360», «Life», «Лента.ру». В большинстве изданий рассказали о находке Сачи как об опасной уязвимости. Только часть СМИ позже добавила комментарий Дурова или выпустила его отдельной заметкой. Кроме того, многие СМИ назвали Сачи «экспертом» или «исследователем», хотя он поступил на первый курс колледжа только в августе 2018 года.

#технологии #telegram #дуров #мессенджеры