Telegram на macOS сохранял самоудаляемые сообщения в системе

Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) выявил в Telegram для macOS две новые уязвимости. Одна из них связана с функциональностью самоудаления сообщений и ставит под угрозу приватность пользователя.

Наличие уязвимостей подтверждено для сборки 7.3 приложения. Патчи включены в состав версии 7.4, вышедшей 29 января.

В отличие от Signal и WhatsApp мессенджер Telegram не обеспечивает сквозное шифрование по умолчанию. Такая защита здесь включается вручную — через опцию secret chat. После ее активации все данные, передаваемые участниками чата, шифруются не только в процессе обмена, но и при сохранении на серверах Telegram.

Опция «секретный чат» также позволяет отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата (у всех собеседников). Проведенный Мишрой анализ показал, что в macOS-приложении Telegram этот механизм работает некорректно: аудио- и видеосообщения исправно пропадают с экрана, но их копии остаются в системе в виде файлов .mp4.

Исследователь также обнаружил, что Telegram для macOS хранит локальные пароли в открытом виде. Соответствующий файл JSON находится в папке Users/<имя_пользователя>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/.

Новые уязвимости получили идентификаторы CVE-2021-27204 и CVE-2021-27205. Автор находок заработал €3000 в рамках спецпрограммы Telegram для баг-хантеров.