Натаниэль  Сачи (Nathaniel Suchy), студент-технолог Общественного технического университета округа Уэйк в Северной Каролине, обнаружил, что версия Telegram для настольных компьютеров записывает сообщения пользователей на жесткий диск в незашифрованном виде. По его словам, мессенджер «использует несколько сложную для чтения, но тем не менее незашифрованную базу данных SQLite для хранения сообщений».

Сачи удалось преобразовать исходные сведения в более удобный для просмотра формат и проанализировать их. Он нашел не только сами сообщения в текстовом формате, но также имена и телефонные номера собеседников. По мнению исследователя, это непростая работа, но с применением необходимых пользовательских скриптов процесс упрощается и автоматизируется.

Кроме того, выяснилось, что сообщения, изображения, аудио- и видеофайлы из секретных чатов также хранятся в локальной среде без шифрования.

Основатель Telegram Павел Дуров отказался признавать находку Натаниэля Сачи уязвимостью. «C технической точки зрения, утверждение заявившего о мнимой уязвимости сводится к следующему: «Если бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения». Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий, — заявил бывший руководитель «ВКонтакте».

Он также привел в пример аналогичный случай 2015 года, когда ИБ-исследователь выяснил, что в памяти непосредственно на устройстве пользователя сообщения хранятся в незашифрованном виде и преступник с root-доступом сможет их прочесть.

Схожую проблему неделю назад нашли в мессенджере Signal. Независимый французский исследователь Мэтт Суичи (Matt Suiche) выяснил, что при переходе с расширения для Chrome на десктопную версию приложения переписка копируется в незакодированном виде. Более того, она хранится на жестком диске до тех пор, пока пользователь не удалит ее самостоятельно.

Как отмечает издание BleepingComputer, целью обоих приложений не является шифрование непосредственно на устройстве. Они гарантируют лишь безопасную передачу данных и со своей задачей справляются. Однако желающие защитить свои данные на локальном устройстве могут включить полное шифрование диска внутри операционной системы. В Windows эта функция доступна через BitLocker, на macOS — через FileVault.

Категории: Главное, Уязвимости