Исследователь в области информационной безопасности Натаниэль Сачи, обнаружил, что десктопная версия Telegram хранит всю переписку на локальном диске в незашифрованном виде.
Защищён ли пароль или нет. @telegram, сообщения принадлежат мне.
Исследователь сообщил, что защита паролем всё же включена. Но, по его мнению, несмотря на заданный пароль, мотивированный злоумышленник сможет без проблем получить сообщения без необходимости их расшифровки. По факту, мессенджер формирует переписку в текстовые файлы, которые лежат в системе. В Telegram Desktop защита паролем может предотвратить несанкционированный доступ к приложению, но он не шифруется.
В другом мессенджере — Signal, также отметили, что «шифрование хранимых данных — это не то, что пытается предоставить десктопное приложение. То же самое касается и Telegram; оба приложения стремятся предложить общение, которое нельзя подслушивать, и они с этим успешно справляются».
...
Более того, Сачи отмечает, что сюда также входит возможность доступа к прикреплённым изображениям. Для этого нужно изменить тип расширения изображения, чтобы просмотреть его в базе данных. То есть любые фотографии, будь это даже изображения интимного характера, можно получить без ввода пароля. Сачи посоветовал, что необходимо защищать приложение паролем, который, как минимум, должен хоть как-то защитить пользователей.
Интересен и тот факт, что Сачи утверждает, что все сообщения без исключения попадают в одну и ту же базу данных, независимо от того, «секретные чаты» это или нет. В целом, хакером Мэттом Суиче такая же уязвимость была обнаружена несколько дней назад и в приложении мессенджера Signal:
Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) + attachments locally so you can re-import them in the newer version? #fail#wtf
