Тревожные симптомы Telegram

в 13:39, , рубрики: telegram, безопасность, информационная безопасность, конфиденциальность, приватность

Telegram для меня оказался очень удобным и безопасным мессенджером. Определяющим при выборе оказался аспект безопасности, а именно — учрежденный конкурс по взлому алгоритма шифрования сообщений.

Сам факт наличия такого конкурса очень положительно сказался на моем отношении и отношении тех, с кем я общаюсь, к Telegram. А вот ограниченный по времени характер конкурса привнес некоторые опасения относительно того, что при очередном обновлении алгоритм шифрования может быть изменен на уязвимую версию и приватная переписка станет доступна тем, кому она не предназначалась. Было бы логичным, если бы конкурс носил бессрочный характер. На мой взгляд, это могло бы добавить доверия к мессенджеру.

Но обеспечение конфиденциальности сообщений это не только сильные алгоритмы шифрования.

Так при утере смартфона с установленным Telegram служба поддержки советует обратиться к оператору сотовой связи для блокировки SIM карты и с помощью встроенной функции Telegram произвести процедуру отключения сессий с других устройств. И если вы опасаетесь за свои данные (а опасаться есть за что), то вам следует очистить устройство удаленно (http://support.apple.com/kb/PH2701, www.google.com/android/devicemanager) или удалить аккаунт Telegram.

Но эти действия не гарантируют того, что приватные данные не станут доступны третьим лицам.

Мною случайно была обнаружена уязвимость (недокументированная возможность?), позволяющая получить доступ к файлам, которыми обменивались пользователи.

Суть заключается в следующем — если в секретном чате пользователи обменивались файлами, то удаление файлов по таймеру или вручную не происходит.

Файлы доступны тут — /SD-карта/Android/data/org.telegram.messenger/cache/. Никаким образом файлы не зашифрованы и доступ к ним не ограничен. Операционная система Android. Телефон с SD-картой. Версия Telegram 1.9.4.

Вы можете в этом убедиться, просмотрев эту папку на своем телефоне с ОС Android.

Таким образом, при получении физического доступа к телефону или его SD-карте существует возможность для третьих лиц получить доступ к файлам, которыми обменивались пользователи, даже если время жизни сообщений истекло или была использована возможность удаления содержимого чата по запросу.

Также существует возможность подмены файла — достаточно задать для файла такое же имя как у заменяемого и файл отразится в окне чата (тестировал на фотографии).

P.S. Информация была направленна на support@telegram.org 13 октября в 22:42 (UTC+3)

Автор: alex0ff

Источник

Поделиться

* - обязательные к заполнению поля