Telegram хранит переписку пользователей незашифрованной
ИА «Ореанда-Новости». В десктопной версии мессенджера «Телеграм» обнаружена уязвимость: сообщения пользователей хранятся без какого-либо шифрования. Павел Дуров опровергает это утверждение.
В конце октября этого года американский инженер, специалист по кибербезопасности Натаниэль Сачи (Nathaniel Suchy), проанализировав мессенджер Telegram, обнаружил, что в версии для компьютеров вся переписка сохраняется на жёстком диске незашифрованной.
Для хранения сообщений используется база данных SQLite. Её не слишком легко прочесть, но в целом она полностью лишена шифрования. Натаниэль Сачи переконвертировал данные в формат, пригодный для просмотра, и без труда нашёл телефонные номера и имена, которые ассоциируются друг с другом.
В десктопной версии популярного мессенджера есть защита паролем. Но она никак не связана с шифрованием. Поэтому, если злоумышленник обладает определёнными навыками, он вполне сможет прочитать переписку пользователей. Секретных чатов в Telegram Desktop просто нет - они есть лишь в мобильном клиенте. В этом режиме мессенджер использует сквозное шифрование, благодаря которому третья сторона не может перехватить переписку. Но если данные сохраняются в «облаке» (не напрямую), они не подвергаются сквозному шифрованию. Разработчики мессенджера говорят, что каналы между сервером и клиентом надёжны, а пользователям удобно просматривать «облачную» переписку: ведь она доступна с любого устройства.
Павел Дуров прокомментировал открытие Натаниэля Сачи, назвав его размышлением на тему: если бы у меня был полный доступ к компьютеру, я смог бы прочесть переписку. Но достаточно написать несколько специальных скриптов, чтобы получить любые желаемые данные из Telegram, сообщает издание о высоких технологиях CNews.
Разработчики мессенджера указали на то, что пользователи, применяющие секретный режим, получают данные в своё полное распоряжение. Но локальное хранение резервных копий или как минимум их части небезопасно. Теоретически, злоумышленник действительно может добраться до важных сведений в компьютере - например, при продаже ПК, данные в котором стёрты, но небезвозвратно, или при получении удалённого доступа. Подобных сценариев предостаточно. Представитель компании SEC Consult Services Олег Галушкин полагает, что лучше всего реализовать в мессенджере Telegram многослойную защиту, чтобы избежать любых рисков.
Комментарии