Десктопный клиент Telegram хранит переписку в незащищенном виде. Это не компрометирует мессенджер

Первокурсник американского колледжа Wake Technical Натаниэль Сачи публично раскритиковал защищенный мессенджер Telegram. Он обнаружил, что программа хранит содержимое чатов локально, в незащищенном виде и пожаловался на ситуацию в Twitter.

Дело касается клиента Telegram Desktop — единого приложения под Windows, macOS и Linux (также у мессенджера есть нативный клиент для macOS). О работе Сачи написало издание Bleepingcomputer.

Переписка находится в базе данных, расположенной в одной из папок программы. Прочитать SQLite-файл непросто, однако при помощи скриптов и некоторой подготовки, возможно. По наблюдениям Сачи, туда попадают не только сообщения, но и номера телефонов, а также названия контактов.

https://twitter.com/nathanielrsuchy/status/1057253304844062720

Протестировав функцию секретных чатов, при которых данные передаются по принципу end-to-end и не хранятся на серверах, исследователь также якобы обнаружил в базе данных содержимое переписки. Этот пункт вызывает вопросы — в Telegram Desktop нет поддержки секретных чатов. Они работают в нативном клиенте для macOS и на мобильных устройствах.

Особенно Сачи побеспокоило, что Telegram Desktop предлагает закрыть доступ к приложению паролем. Даже если эта мера остановит посторонних от прямого чтения чатов, они могут беспрепятственно скопировать базу данных. Студент заключает, что это создает иллюзию защищенности среди рядовых пользователей.

Telegram — не первый мессенджер, который подвергся подобным обвинениями. Ранее француз Натаниэль Сюиш высказал аналогичные претензии к Signal. Программа хранила переписку в виде JSON-файлов, открытых для чтения.

Почему это не проблема

Оба случая не компрометируют мессенджеры. И Telegram, и Signal ручаются лишь за безопасность своих протоколов передачи данных. Защита устройств от постороннего доступа остается за пользователем. Это признает и сам Сачи, отмечая вклад Signal и Telegram в улучшение онлайн-безопасности. Он указывает, что у его работы просветительская цель. Защищенные мессенджеры часто используют активисты и, при завышенных ожиданиях от безопасности, могут поставить свою жизнь под угрозу.

https://twitter.com/nathanielrsuchy/status/1057427916722716673

Ситуацию вокруг Telegram осветили СМИ. В публикациях Сачи часто называли «экспертом по кибербезопасности», а хранение незащищенных файлов — уязвимостью. Ажиотаж вызвал реакцию Павла Дурова, основателя Telegram. В своем канале предприниматель написал:

C технической точки зрения утверждение заявившего об уязвимости сводится к следующему:

«Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения».

Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий. Три года назад я рассказывал о похожем случае.

Случай, о котором упоминает Дуров — разбор заявления о том, что защиту Telegram на Android можно обойти, получив Root-доступ к устройству. Тогда основатель Telegram объяснял, почему ключи для расшифровки переписки в локальной базе данных хранятся на устройстве. Если бы они отсутствовали, программа не смогла бы даже отобразить сообщения. Дуров подчеркивал, что при получении контроля над устройством, винить мессенджер в небезопасном хранении данных — спекуляция.

Ранее AIN.UA уже рассказывал, что можно сделать для защиты файлов на Windows и Mac.