Инженер из США Натаниэль Сачи обнаружил, что приложение Telegram Desktop не зашифровывает переписку пользователя.
На открытие обратил внимание портал BleepingComputer.
«Telegram хранит ваши сообщения в незашифрованной базе данных SQLite. По крайней мере, мне не пришлось прилагать усилия, чтобы найти ключ в этот раз», — написал Сачи, сопроводив пост скриншотом.
Таким образом, программа формирует переписку в текстовые файлы, которые лежат в системе в открытом доступе. Версия Telegram Desktop поддерживает защиту паролем, чтобы предотвратить несанкционированный доступ к приложению, но этот параметр безопасности не предполагает шифрования.
Сачи также протестировал функцию «секретного чата». Оказалось, что все сообщения без исключения попадают в одну и ту же базу данных, независимо от того, получают ли они преимущество сквозного шифрования.
То же касается передаваемых в переписке медиафайлов. Инженеру потребовалось только изменить тип расширения изображения, чтобы просмотреть его в базе. Он выразил удивление в связи с тем, что шифрование Telegram не распространяется на локальную среду.
Сотрудники приложения пока никак не прокомментировали найденную уязвимость.
Несколько дней назад хакер Мэтт Суиче (Matt Suiche) обнаружил такую же уязвимость в приложении Signal. Он сообщил, что не ожидал такого провала от программы, обещающей безопасный обмен сообщениями.
В начале октября эксперты в области кибербезопасности обнаружили в Telegram уязвимость, из-за которой раскрывались IP-адреса пользователей. Это происходило во время звонков через мессенджер. Позднее владелец приложения Павел Дуров сообщил, что утечка затронула лишь малый процент пользователей.
Ранее Telegram запустил систему для хранения паспортных данных