“Telegram Desktop не позволяет локально защищать содержимое чата и предоставляет доступ к обычным текстовым сообщениям и медиа, которые обычно являются зашифрованными. Сообщения хранятся в незашифрованной базе данных SQLite” – написал Bleeping Computer.
“Telegram хранит ваши сообщения в незашифрованной базе данных SQLite. По крайней мере, мне не пришлось прилагать усилия, чтобы найти ключ в этот раз”, – написал американский инженер Натаниэль Сачи, который обнаружил уязвимость. По его словам, Telegram использует “несколько трудную для чтения, но в остальном не зашифрованную базу данных SQLite”.
Натаниэль Сачи также отметил, что передаваемые медиафайлы и “секретный чат” также попадают в эту базу. Таким образом, все сообщения без исключения попадают в одну и ту же базу данных, независимо от того, получают ли они преимущество сквозного шифрования.
Сачи также нашел имена и номера телефонов, которые в теории могут быть сопоставлены друг с другом. Тем не менее, эту информацию непросто читать, но пользовательские скрипты могут помочь сделать такие детали более понятными и автоматизировать извлечение.
Telegram Desktop поддерживает защиту паролем, чтобы предотвратить несанкционированный доступ к приложению, но этот параметр безопасности не добавляет шифрования. Чрезмерно любопытный пользователь вашего компьютера все еще может читать ваши чаты.
Защита данных, сохраненных локально, возможна путем включения полного шифрования диска из операционной системы. Это доступно в Windows через BitLocker, на macOS через FileVault; эта функция присутствует и в Linux, а некоторые дистрибутивы большого размера делают ее доступной во время процедуры установки.
“C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: “Eсли бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения”. Само по себе это утверждение очевидно”, – прокомментировал сообщение об уязвимости создатель Telegram Павел Дуров.
Ранее эксперты зафиксировали утечку IP-адресов пользователей во время звонков через мессенжер Telegram из-за одноранговой системы сервера P2P. Компания уже устранила этот недочет в двух последних обновлениях.
Источник: Новое Время
