Telegram для macOS может сохранять самоуничтожающиеся сообщения
Эксперты Trustwave обнаружили, что Telegram для macOS позволяет сохранять определенные самоуничтожающиеся сообщения из секретных чатов и просматривать их без ведома отправителя.
Эту уязвимость исправили в Telegram для macOS 7.7 (215786), после того как исследователи сообщили о ней разработчикам. Однако специалисты нашли дополнительную ошибку, которая так же позволяет сохранять самоуничтожающийся контент.
Разработчики Telegram сообщили исследователям, что вторая ошибка не будет исправлена, так как защититься от прямого доступа к папке приложения невозможно.
«Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах», — заявили разработчики.
Исследователи не согласны с этим объяснением. По их мнению, Telegram может исправить ошибку, к примеру, обрабатывая все самоуничтожающиеся медиа так же, как вложения, то есть не загружая их в локальную файловую систему до тех пор, пока те не будут открыты.
Напомним, таймер самоуничтожения, который позволяет не удалять сообщения вручную, а лишь выставлять им соответствующее время «жизни», действует в секретных чатах Telegram с 2013 года. С февраля 2021 года автоматическое удаление сообщений стало доступно для всех участников в любом чате. В этом режиме сообщения исчезают через 24 часа или 7 дней после отправки.