🥪 👿 👸🏿 Telegram sur MacOS [vraisemblablement] stocke également localement la correspondance sous une forme accessible 🤾 🐎 ✋🏼

Illustration de bleepingcomputer.com

Cela ne s'est jamais produit auparavant, et là encore ...
Le chercheur américain Nathaniel Sachi a constaté que l'application Telegram ne chiffre pas une copie locale de la correspondance de l'utilisateur:

Bien qu'il soit quelque peu difficile à parcourir (écrire des scripts Python capables?) - similaire au problème avec Signal - @telegram stocke vos messages dans une base de données SQLite non chiffrée. Au moins, je n'ai pas eu à faire l'effort de trouver la clé cette fois :)) pic.twitter.com/gTRpSKVQAM
- Nathaniel Suchy (@nathanielrsuchy) 30 octobre 2018

Telegram stocke vos messages dans une base de données SQLite non chiffrée. Au moins, je n'ai pas eu à faire d'effort pour trouver la clé cette fois. Bien que les [messages] soient assez difficiles à voir (probablement, vous devez écrire une sorte de script auxiliaire en python?) - c'est très similaire au problème avec Signal

Les informations UPD sont présentées sous la forme dans laquelle elles se trouvaient dans la source originale et le twitter du chercheur.
UPD 2 Reçu un commentaire révélateur de Pavel Durov

Nathaniel Sachi a également vérifié la fonction «chat secret» dans l'application Telegram pour macOS ( il n'y a pas de chat secret dans la version Windows, grâce à mwizard , cependant, Telegram Desktop est mentionné dans la source d'origine). Il s'est avéré que les messages de la conversation secrète sont mis en évidence dans la même base de données que les messages réguliers. C'est-à-dire bien que le transfert de données pour les chats secrets soit assez bien protégé, une copie locale des messages de ces chats est stockée localement sans aucune protection de l'application elle-même.

Oui, alors que la protection par mot de passe est activée. Cela montre que malgré la définition d'un mot de passe. Un attaquant motivé peut simplement extraire les messages sans avoir à les déchiffrer. C'est comme le bogue libssh: Knock knock, puis-je entrer, je peux entrer, je suis dedans; sauf comme avec Telegram :)
- Nathaniel Suchy (@nathanielrsuchy) 30 octobre 2018

Telegram prend en charge l'installation d'un code PIN local pour empêcher tout accès non autorisé à une application en cours d'exécution, mais cette fonction n'implique aucune protection supplémentaire pour la base de données SQLite locale avec l'historique des messages (selon le chercheur).

Les fichiers multimédias envoyés dans la correspondance ne sont pas non plus particulièrement cachés, mais seulement obscurcis. Nathaniel Sachi a seulement eu besoin de changer l'extension du fichier pour voir les photos de son chat.

Permettez-moi de vous rappeler, il y a quelques jours, que le pirate informatique Matthew Xuish a révélé un problème similaire avec le manque de protection de la base de données historique des messages locaux dans l'application Signal.

Mise à jour!

Pavel Durov ne nie pas la situation, mais estime que le problème n'est pas du tout un problème:

Telegram sur MacOS [vraisemblablement] stocke également localement la correspondance sous une forme accessible

More articles: