Telegram пише в syslog повідомлення вставити з буфера обміну, в тому числі і в секретних чатах

Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0  Kirill Firsov (@k_firsov) 23 липня 2016 р.

Кирило Isis Фірсов, відомий з пошуку вразливостей і багів в популярних веб-проектах, повідомив у своєму твіттері про виявлення цікавою особливості в Telegram Messenger і отримання відповіді від Павла Дурова в стилі «фіча, а не баг»: всі повідомлення, вставити з буфера обміну, в тому числі в секретних чатах, пишуться в лог на пристрої.

Павло Дуров відповів Кирилу в Twitter-листуванні та повідомив, що дана проблема спостерігається тільки на Mac і саме в Telegram Messenger, а не Telegram Desktop. Також Павло повідомив, що додатки з AppStore можуть тільки писати в syslog, однак прав на читання вони не мають.

Коментар Кирила Фірсова:
Зрозуміло, що довіряти клавіатурі не варто і перехоплювати її можуть і інші програми, але ми говоримо саме про Телеграме і про його безпеку.

Можна уявити ситуацію: я депутат, купив лептоп і встановив з апстора Telegram. Веду ділове листування, копіюю важливу інформацію з документа (який на usb-флешці) у вікно своєму співрозмовнику. Діалог закінчено, секретний чат видалений, флешка знищена. А через тиждень я попадаюся на малварь (вірус) і моя важлива інформація вже не тільки моя.

Також можна додати про можливості читання цієї інформації компетентними органами.
Телеграм утвержает, що платить за повідомлення про уразливість у власних програмах, але це не той випадок — писати про ба спочатку треба було на security@telegram.org через публічного твіту Кирила винагороджувати його за уразливість компанія відмовилася, про що й повідомила в офіційному листі.

Розробник програми — Михайло Філімонов, повідомив Кирилу в особистому листуванні, що виправлений баг і найближчим оновлення закриє вразливість.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.