SOS :: Security Operation Space
14 ноября, четверг, 00:00
|
Hot News:

Файлы из переписки Telegram удалялись не до конца

11 сентября 2019 г., среда, 19:13

В мессенджере исправили баг, из-за которого фото и видео из удаленных сообщений оставались на устройстве получателя.

Разработчики Telegram обновили свое приложение, устранив серьезную угрозу приватности пользователей. Из-за бага, который обнаружил независимый ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra), медиафайлы, удаленные из переписки, оставались в памяти устройства получателя.

Баг в механизме удаления файлов Telegram

Как пояснил эксперт, ошибка содержалась в функции, позволяющей отправителю сообщения стереть его для всех участников чата. Приложение действительно удаляло текст и все вложения из окна переписки, однако последние оставались доступны локально в одной из папок мессенджера (например, …/Telegram/Telegram Images/) на устройстве адресата.

Исследователь указывает, что проблема касалась как частных переписок, так и групповых чатов, в которых могут участвовать до 200 тыс. пользователей. В последнем случае содержимое отозванного сообщения сохранится на каждом из тысяч мобильных устройств получателей.

За свою находку исследователь получил от Telegram награду в €2500. Разработчики исправили баг в обновлении 5.11, которое уже доступно пользователям iOS и Android. Эксперт отмечает, что хотя заплатка позволяет полностью удалять файлы, те вложения, которые сохранилось в памяти устройств до обновления, останутся там, пока владелец гаджета сам их не сотрет.

Практическая демонстрация уязвимости — изображение остается доступным после того, как отправитель выбрал «Удалить сообщение для всех участников»

Мишра также протестировал аналогичный механизм удаления сообщений в мессенджере WhatsApp. В отличие от Telegram, это приложение стерло удаленное фото и из своей папки на смартфоне (…/Whatsapp/Whatsapp Media/Whatsapp Images/). Набор разрешений на запись и редактирование данных у обоих мессенджеров совпадает.

Прошлые инциденты с приватностью в Telegram

Это далеко не первый раз, когда пользователи Telegram обнаруживают скрытые возможности заявленных функций приложения. В 2018 году ИБ-специалист обнаружил, что десктопная версия мессенджера не шифрует данные переписки. Создатель Telegram Павел Дуров отказался признавать это уязвимостью, указав, что скомпрометированный компьютер является большей проблемой для пользователя.

Позже эксперты описали сценарий атаки на Telegram и WhatsApp, построенный на особенностях организации данных в памяти приложений. Как выяснилось, мессенджеры отправляют пользовательские материалы во внешнее хранилище Android, где они оказываются доступны другим программам.

Последний на данный момент инцидент был связан с протестами в Гонконге, где через Telegram активно общаются участники демонстраций. Они выяснили, что мессенджер позволяет узнать телефонный номер человека, даже если тот скрыл его в настройках приложения. Для этого достаточно загрузить в телефонную книгу огромную базу номеров и синхронизировать ее с Telegram. Разработчики не считают это багом, поскольку Telegram использует телефонную книгу для удобства пользователей.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:15
17:13
16:36
15:17
13:15
12:15
10:15
08:15
07:15
06:15
05:40
05:13
16:50
15:15
15:07
14:15
13:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.321
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.