Ilustración de
bleepingcomputer.comEsto nunca ha sucedido antes, y aquí de nuevo ...
El investigador estadounidense Nathaniel Sachi descubrió que la aplicación Telegram no cifra una copia local de la correspondencia del usuario:
Telegram almacena sus mensajes en una base de datos SQLite sin cifrar. Al menos no tuve que hacer un esfuerzo para encontrar la llave esta vez. Aunque los [mensajes] son bastante difíciles de leer (¿probablemente necesite escribir algún tipo de script auxiliar en Python?), Esto es muy similar al problema de Signal
La información de
UPD se presenta en la forma en que estaba en la
fuente original y el twitter del investigador.
UPD 2 recibió un comentario revelador de
Pavel Durov
Nathaniel Sachi también verificó la función de "chat secreto" en la aplicación
Telegram para macOS (
no hay chats secretos en la versión de Windows, gracias a mwizard , sin embargo,
Telegram Desktop se menciona en la fuente original). Resultó que los mensajes del chat secreto se aclaran en la misma base de datos que los mensajes normales. Es decir Aunque la transferencia de datos para chats secretos está bastante bien protegida, una copia local de los mensajes de dichos chats se almacena localmente sin ninguna protección de la aplicación misma.
Telegram admite la instalación de un código pin local para evitar el acceso no autorizado a una aplicación en ejecución, pero esta función no implica ninguna protección adicional para la base de datos SQLite local con el historial de mensajes (según el investigador).
Los archivos multimedia enviados por correspondencia tampoco están particularmente ocultos, sino que solo se ofuscan. Nathaniel Sachi solo necesitaba cambiar la extensión del archivo para ver fotos de su chat.
Permítanme recordarles, hace unos días, el hacker Matthew Xuish
reveló un problema similar con la falta de protección para la base de datos del historial de mensajes local en la aplicación Signal.
Actualizado!Pavel Durov no niega la situación, pero cree que el problema no es un problema en absoluto: