Из-за просчета разработчиков, злоумышленники могут завладеть чужими файлами даже после их удаления из мессенджера.
Функцию самоуничтожающихся сообщений в Telegram можно обойти и сохранить конфиденциальную информацию.
Об этом Forbes рассказали эксперты по кибербезопасности из компании Trustwave SpiderLabs.
Ведущий специалист Риган Джаяпол провел исследование и предупредил о проблемах с приватностью, которые грозят, в первую очередь, пользователям приложения Telegram на MacOS. Как оказалось, любые медиафайлы, отправленные с использованием функции самоуничтожения, сохранялись в папке кэша. По словам киберэксперта, благодаря этому хакер может получить доступ к фото, видео, аудиосообщениям или документам.
Джаяпол утверждает, что разработчики Telegram уже исправила эту уязвимость в версии 7.4 и предложили ему вознаграждение в обмен на неразглашение данной информации. Вскоре сотрудник SpiderLabs обнаружил еще одну проблему, из-за которой сообщения полностью не удалялись даже после "самоуничтожения".
"Очевидно, что Telegram не раз оставлял эти якобы самоуничтожающиеся медиафайлы", — подчеркнул Карл Сиглер, старший менеджер по исследованиям в области безопасности Trustwave SpiderLabs.
По данным Forbes, разработчики так и не исправили вторую уязвимость, поэтому функцию самоуничтожения до сих пор можно легко обойти, даже не открывая сообщения. Достаточно скопировать файлы из папки кеша — отправитель при этом будет видеть, что послание не было прочитано, и не сможет ничего заподозрить. Текстовые сообщения, запрограммированные на самоудаление, тоже весьма ненадежны, ведь можно просто сделать скриншот.
Представитель Telegram подтвердил Forbes наличие проблемы и предостерег пользователей:
"Функция самоуничтожения предназначена для того, чтобы пользователи могли легко отправить медиа, которое удалит само себя. Мы предупреждаем юзеров о том, что они должны отправлять файлы личного характера только тем людям, которым они доверяют, поскольку программное обеспечение не может на 100% запретить кому-либо сохранять версию сообщений или мультимедиа — например, просто сфотографировать свой экран с помощью другого устройства".
Он добавил, что Telegram продолжает улучшать безопасность и функциональность мессенджера в сотрудничестве со сторонними исследователями. По словам представителя компании, уязвимости были найдены только в версии для macOS и не затронули другие приложения.
