Справится даже школьник: аналитики рассказали, как обойти защиту сообщений в Telegram

Телеграм, Telegram
Фото: Unsplash

Из-за просчета разработчиков, злоумышленники могут завладеть чужими файлами даже после их удаления из мессенджера.

Функцию самоуничтожающихся сообщений в Telegram можно обойти и сохранить конфиденциальную информацию.

Об этом Forbes рассказали эксперты по кибербезопасности из компании Trustwave SpiderLabs.

Ведущий специалист Риган Джаяпол провел исследование и предупредил о проблемах с приватностью, которые грозят, в первую очередь, пользователям приложения Telegram на MacOS. Как оказалось, любые медиафайлы, отправленные с использованием функции самоуничтожения, сохранялись в папке кэша. По словам киберэксперта, благодаря этому хакер может получить доступ к фото, видео, аудиосообщениям или документам.

Джаяпол утверждает, что разработчики Telegram уже исправила эту уязвимость в версии 7.4 и предложили ему вознаграждение в обмен на неразглашение данной информации. Вскоре сотрудник SpiderLabs обнаружил еще одну проблему, из-за которой сообщения полностью не удалялись даже после "самоуничтожения".

"Очевидно, что Telegram не раз оставлял эти якобы самоуничтожающиеся медиафайлы", — подчеркнул Карл Сиглер, старший менеджер по исследованиям в области безопасности Trustwave SpiderLabs.

По данным Forbes, разработчики так и не исправили вторую уязвимость, поэтому функцию самоуничтожения до сих пор можно легко обойти, даже не открывая сообщения. Достаточно скопировать файлы из папки кеша — отправитель при этом будет видеть, что послание не было прочитано, и не сможет ничего заподозрить. Текстовые сообщения, запрограммированные на самоудаление, тоже весьма ненадежны, ведь можно просто сделать скриншот.

Представитель Telegram подтвердил Forbes наличие проблемы и предостерег пользователей:

"Функция самоуничтожения предназначена для того, чтобы пользователи могли легко отправить медиа, которое удалит само себя. Мы предупреждаем юзеров о том, что они должны отправлять файлы личного характера только тем людям, которым они доверяют, поскольку программное обеспечение не может на 100% запретить кому-либо сохранять версию сообщений или мультимедиа — например, просто сфотографировать свой экран с помощью другого устройства".

Он добавил, что Telegram продолжает улучшать безопасность и функциональность мессенджера в сотрудничестве со сторонними исследователями. По словам представителя компании, уязвимости были найдены только в версии для macOS и не затронули другие приложения.

Ранее основатель канала "Глаз бога" обвинил Telegram в сотрудничестве со спецслужбами. Евгений Антипов потребовал разблокировать его канал, пригрозив опубликовать доказательства коррупции руководства мессенджера в социальных сетях.

На следующий день в сеть выложили базу данных клиентов телеграм-бота "Глаз Бога". Под угрозой оказались около 774 тысяч пользователей из Украины, России и Беларуси.