[Из песочницы] Тревожные симптомы Telegram

Telegram для меня оказался очень удобным и безопасным мессенджером. Определяющим при выборе оказался аспект безопасности, а именно — учрежденный конкурс по взлому алгоритма шифрования сообщений.

Сам факт наличия такого конкурса очень положительно сказался на моем отношении и отношении тех, с кем я общаюсь, к Telegram. А вот ограниченный по времени характер конкурса привнес некоторые опасения относительно того, что при очередном обновлении алгоритм шифрования может быть изменен на уязвимую версию и приватная переписка станет доступна тем, кому она не предназначалась. Было бы логичным, если бы конкурс носил бессрочный характер. На мой взгляд, это могло бы добавить доверия к мессенджеру.

Но обеспечение конфиденциальности сообщений это не только сильные алгоритмы шифрования.



Так при утере смартфона с установленным Telegram служба поддержки советует обратиться к оператору сотовой связи для блокировки SIM карты и с помощью встроенной функции Telegram произвести процедуру отключения сессий с других устройств. И если вы опасаетесь за свои данные (а опасаться есть за что), то вам следует очистить устройство удаленно (http://ift.tt/1mzwsau, http://ift.tt/1aWmLLn) или удалить аккаунт Telegram.

Но эти действия не гарантируют того, что приватные данные не станут доступны третьим лицам.

Мною случайно была обнаружена уязвимость (недокументированная возможность?), позволяющая получить доступ к файлам, которыми обменивались пользователи.

Суть заключается в следующем — если в секретном чате пользователи обменивались файлами, то удаление файлов по таймеру или вручную не происходит.

Файлы доступны тут — /SD-карта/Android/data/org.telegram.messenger/cache/. Никаким образом файлы не зашифрованы и доступ к ним не ограничен. Операционная система Android. Телефон с SD-картой. Версия Telegram 1.9.4.

Вы можете в этом убедиться, просмотрев эту папку на своем телефоне с ОС Android.

Таким образом, при получении физического доступа к телефону или его SD-карте существует возможность для третьих лиц получить доступ к файлам, которыми обменивались пользователи, даже если время жизни сообщений истекло или была использована возможность удаления содержимого чата по запросу.

Также существует возможность подмены файла — достаточно задать для файла такое же имя как у заменяемого и файл отразится в окне чата (тестировал на фотографии).

P.S. Информация была направленна на support@telegram.org 13 октября в 22:42 (UTC+3)

UPD

P.P.S. Поддержка молчит.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.