bleepingcomputer.com的插图
这从来没有发生过,再来一次...
美国研究员Nathaniel Sachi发现,Telegram应用程序不加密用户通信的本地副本:
Telegram将您的消息存储在未加密的SQLite数据库中。 至少这次我不必费劲去寻找钥匙。 尽管[messages]很难查看(可能需要用python编写某种辅助脚本?)-这与Signal的问题非常相似
UPD信息以其
原始来源和推特的形式提供。
UPD 2收到了
Pavel Durov的有启发性的评论
Nathaniel Sachi还检查了
macOS应用程序的
Telegram中的“秘密聊天”功能(
由于mwizard ,
Windows版本中没有秘密聊天 ,但是原始消息中提到了
Telegram Desktop )。 事实证明,来自秘密聊天的消息与常规消息在同一数据库中以明文形式进入。 即 尽管秘密聊天的数据传输受到了很好的保护,但是来自此类聊天的消息的本地副本被本地存储,而不受应用程序本身的任何保护。
Telegram支持安装本地密码,以防止未经授权访问正在运行的应用程序,但是此功能并不意味着对带有消息历史记录的本地SQLite数据库提供任何其他保护(根据研究人员)。
对应发送的媒体文件也没有特别隐藏,而只是模糊不清。 Nathaniel Sachi只需要更改文件扩展名就可以从他的聊天中查看照片。
让我提醒您,几天前,黑客Matthew Xuish
发现了类似的问题,即对Signal应用程序中的本地消息历史记录数据库缺乏保护。
更新了!帕维尔·杜洛夫(Pavel Durov)不否认这种情况,但认为该问题根本不是问题: