Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Telegram позволяет читать удаленные сообщения

В анонимном Telegram канале https://t.me/ancomsphere опубликована статья о уязвимости Telegram, позволяющей читать давно удаленные сообщения. Владелец аккаунта может, не подозревая, что эти сообщения кому-то доступны, самостоятельно предоставить к ним доступ.

Уязвимость обнаружена в Telegram клиенте для Windows. Который, как видно на изображении, показывает удаленные групповые чаты. В статье утверждается, что отображаются удаленные чаты, которые создавались владельцем аккаунта. Но это не совсем так. Мне удалось увидеть чаты, созданные не только мной. А так же всё ещё существующие, из которых удаляли меня. При чем некоторые из них датировались аж 2016-ым годом.

Telegram позволяет читать удаленные сообщения Telegram, Уязвимость, Информационная безопасность, Мессенджер, Telegram (ссылка)

Баг, случайно проявившийся, в официальном приложении мог быть доступен через Telegram Client API уже очень давно, и использоваться правоохранительными органами в своих целях. Телевизионные каналы недавно уже показывали, как пограничники читают удаленные из Telegram сообщения, для выяснения прибытия граждан в страну.

Telegram построил свою репутацию на гарантии безопасности пользователей, и вкладывает в это "миллиарды долларов", вера в случайные ошибки кажется неправдоподобной. Такие ошибки обычно называют Бэкдорами - специально созданными уязвимостями, для осведомлённых лиц.

В любом случае правительства различных стран являются основными заказчиками Zero-day уязвимостей. И даже предполагая, что обнаруженная уязвимость была случайной, можно быть уверенным, что о ней уже давно известно специалистам.

Удаленные чаты отмечаются сообщением "group is inaccessible". В них невозможно писать, но в остальном они ведут себя как обычные групповые чаты. Сообщения из них можно пересылать, и переходить в профили бывших участников. Их можно даже удалять повторно. Тогда они окончательно становятся недоступны обычному пользователю.

Ни для кого не секрет, что Telegram не удаляет старые сообщения. Личные сообщения - это ценный для компании ресурс. Но повергает в шок то, как он так халатно к этой информации относятся.

Когда информация дойдет до Telegram лазейку, скорее всего закроют. Поэтому можно уже сейчас проверить уязвимость, сделать несколько скриншотов и оставить доказательства в сети. Это останется напоминанием того, что Telegram (умышленно или нет) оставляет злоумышленникам интерфейсы для получения личных переписок и может повторить это снова.

Источник: https://t.me/ancomsphere/9

Telegram Уязвимость Информационная безопасность Мессенджер Telegram (ссылка)
18
Все комментарии Автора