Эксперты Trustwave обнаружили, что Telegram для macOS позволяет сохранять определенные самоуничтожающиеся сообщения из секретных чатов, просматривать их без ведома отправителя.
Эту уязвимость исправили в Telegram для macOS 7.7 (215786), после того как исследователи сообщили о ней разработчикам. Однако специалисты нашли дополнительную ошибку, которая так же позволяет сохранять самоуничтожающиеся медиа.
Разработчики Telegram сообщили исследователям, что вторая ошибка не будет исправлена, так как защититься от прямого доступа к папке приложения невозможно.
«Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах», — заявили разработчики.
Исследователи не согласны с этим объяснением. По их мнению, Telegram может исправить ошибку, к примеру, обрабатывая все самоуничтожающиеся медиа так же, как вложения, то есть не загружая их в локальную файловую систему до тех пор, пока они не будут открыты.
Подписывайтесь на наши каналы в Telegram, Telegram Info и Beta Info, чтобы всегда знать о последних новостях мессенджера.