5 июля 2025

eur = 93.13 0.45 (0.49 %)

btc = 108 112.00$ -1 456.24 (-1.33 %)

eth = 2 515.10$ -78.06 (-3.01 %)

ton = 2.75$ -0.07 (-2.57 %)

usd = 78.78 0.13 (0.16 %)

eur = 93.13 0.45 (0.49 %)

btc = 108 112.00$ -1 456.24 (-1.33 %)

В Telegram нашли уязвимость, связанную с самоуничтожающими сообщениями

2 минуты на чтение
В Telegram нашли уязвимость, связанную с самоуничтожающими сообщениями

Telegram для Mac позволяет сохранять самоуничтожающиеся сообщения из секретных чатов и просматривать их без ведома отправителя. Это обнаружили эксперты Trustwave.

Как выяснили исследователи, мультимедийные файлы, исключая вложений, сохраняются в папке кэша, которая расположена по пути: Users -> Admin -> Library -> Group Containers -> XXXXX.ru.keepcoder.Telegram-> appstore -> account-1271742300XXXXX -> postbox -> media, где XXXXX – уникальный номер, привязанный к учетной записи.

Когда получатель читает сообщение, просматривая его содержимое, запускается таймер самоуничтожения, после истечения которого прикреплённые файлы самоуничтожаются. Но, как выяснили исследователи, медиафайлы не удаляются из папки кэша, и их можно сохранить.

Однако, вложения загрузятся только в том случае, если получатель не попытается их открыть. Вероятно, это связано с размером файлов.

В Telegram нашли уязвимость, связанную с самоуничтожающими сообщениями
Восстановление видео с самоуничтожением из кэша

Сообщается, что уязвимость уже исправлена в ​​клиенте Telegram для macOS версии 7.7 (215786), как только исследователи сообщили о ней разработчикам. Однако после этого была обнаружена ещё одна ошибка, которая также позволяет сохранять самоуничтожающиеся медиа.

В Telegram нашли уязвимость, связанную с самоуничтожающими сообщениями
Восстановление самоуничтожающегося аудио из кэша

Голосовые и видеосообщения, а также изображения и данные о местоположении автоматически загружаются в кэш, поэтому пользователь может просто скопировать их оттуда перед просмотром в приложении.

Как сообщили разработчики Telegram, эта проблема не может быть исправлена, так как защититься от прямого доступа к папке приложения невозможно:

Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах.

Но исследователи не согласились с этим объяснением, так как, по их мнению, эту ошибку можно исправить, например, обрабатывая все самоуничтожающиеся медиа так же, как и вложения, не загружая при этом их в локальную файловую систему до тех пор, пока они не будут открыты.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
55a36004-2499-4525-b9c9-49bd7b11eff2-изображение-0de994f7a-c143-4170-b352-00ce21ff0b2e-изображение-1

GigaChat Max: коротко о главном

Tesla запустила первую автономную зарядную станцию на солнечных батареях

Полная версия 
2f70d456-4e83-4017-824b-73ecace9a69f-изображение-0

GigaChat Max: коротко о главном

Издатели в ЕС подали жалобы на Google из-за ИИ-сводок в поиске

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 371
Газпромбанк
OTP Bank
Т-Банк
X5 Tech
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы