ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.
Нашли ошибку в тексте-выделите ее и нажмите Ctrl+Enter. Нашли ошибку в тексте-выделите ее и нажмите кнопку «Сообщить об ошибке».»
Источник: devby.io
В Telegram нашли уязвимость, связанную с самоуничтожающими сообщениями
Телеграм бот: что это и зачем он нужен | SEMANTICA
Telegram для Mac позволяет сохранять самоуничтожающиеся сообщения из секретных чатов и просматривать их без ведома отправителя. Это обнаружили эксперты Trustwave.
Как выяснили исследователи, мультимедийные файлы, исключая вложений, сохраняются в папке кэша, которая расположена по пути: Users -> Admin -> Library -> Group Containers -> XXXXX.ru.keepcoder.Telegram-> appstore -> account-1271742300XXXXX -> postbox -> media, где XXXXX – уникальный номер, привязанный к учетной записи.
Когда получатель читает сообщение, просматривая его содержимое, запускается таймер самоуничтожения, после истечения которого прикреплённые файлы самоуничтожаются. Но, как выяснили исследователи, медиафайлы не удаляются из папки кэша, и их можно сохранить.
Однако, вложения загрузятся только в том случае, если получатель не попытается их открыть. Вероятно, это связано с размером файлов.
Сообщается, что уязвимость уже исправлена в клиенте Telegram для macOS версии 7.7 (215786), как только исследователи сообщили о ней разработчикам. Однако после этого была обнаружена ещё одна ошибка, которая также позволяет сохранять самоуничтожающиеся медиа.
Голосовые и видеосообщения, а также изображения и данные о местоположении автоматически загружаются в кэш, поэтому пользователь может просто скопировать их оттуда перед просмотром в приложении.
Как сообщили разработчики Telegram, эта проблема не может быть исправлена, так как защититься от прямого доступа к папке приложения невозможно:
Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах.
Но исследователи не согласились с этим объяснением, так как, по их мнению, эту ошибку можно исправить, например, обрабатывая все самоуничтожающиеся медиа так же, как и вложения, не загружая при этом их в локальную файловую систему до тех пор, пока они не будут открыты.
Источник: kod.ru
Telegram для macOS не удалял самоуничтожающиеся видео
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Разработчики Telegram исправили баг, из-за которого самоуничтожающиеся аудио- и видеофайлы не удалялись с устройств под управлением macOS.
Напомню, что в режиме секретного чата нельзя пересылать сообщения другим пользователям, а также есть возможность настроить автоматическое самоуничтожение всех сообщений и мультимедиа по прошествии определенного количества времени.
Независимый ИБ-специалист Дхирадж Мишра (Dhiraj Mishra) обнаружил, что в Telegram версии 7.3 самоуничтожающиеся сообщения не удалялись с устройства получателя окончательно. Так, эксперт заметил, что на macOS стандартные чаты «сливают» путь песочницы, где хранятся все полученные видео- и аудиофайлы. И хотя этот путь не «утекает» в секретных чатах, полученные медиафайлы все равно хранятся там же, даже если в самом чате сообщения уже самоуничтожились, как и должны были.
«Боб (злоумышленник, использующий tdesktop macOS) и Алиса (жертва) общаются в режиме секретного чата, и Алиса отправляет аудио/видео сообщение Бобу с таймером самоуничтожения на 20 секунд. Хотя сообщение удаляется из чата через 20 секунд, оно по-прежнему доступно по кастомному пути Боба, здесь Telegram не может предотвратить конфиденциальность для Алисы. В общем, функция самоуничтожения и работы без следов не работает», — пишет эксперт.
Кроме того, Мишра обнаружил, что Telegram хранил локальные коды доступа для разблокировки приложения в формате обычного текста. Они сохранялись в папке Users/[имя пользователя]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata в виде файлов JSON.
Обе проблемы исследователь обнаружил в конце декабря 2020 года, и с релизом Telegram 7.4 они были исправлены. За сообщение об обеих ошибках Мишра получил вознаграждение в размере 3000 долларов.
Источник: xakep.ru