Десктопный клиент Telegram хранит переписку в незащищенном виде. Это не компрометирует мессенджер

Первокурсник американского колледжа Wake Technical Натаниэль Сачи публично раскритиковал защищенный мессенджер Telegram. Он обнаружил, что программа хранит содержимое чатов локально, в незащищенном виде и пожаловался на ситуацию в Twitter.

Дело касается клиента Telegram Desktop — единого приложения под Windows, macOS и Linux (также у мессенджера есть нативный клиент для macOS). О работе Сачи написало издание Bleepingcomputer.

Переписка находится в базе данных, расположенной в одной из папок программы. Прочитать SQLite-файл непросто, однако при помощи скриптов и некоторой подготовки, возможно. По наблюдениям Сачи, туда попадают не только сообщения, но и номера телефонов, а также названия контактов.

Password protected or not your @telegram messages belong to me #pwned #bugbounty #fulldisclosure #infosec :))) pic.twitter.com/CEGve6SpGi

— Nathaniel Suchy (@nathanielrsuchy) October 30, 2018

Протестировав функцию секретных чатов, при которых данные передаются по принципу end-to-end и не хранятся на серверах, исследователь также якобы обнаружил в базе данных содержимое переписки. Этот пункт вызывает вопросы — в Telegram Desktop нет поддержки секретных чатов. Они работают в нативном клиенте для macOS и на мобильных устройствах.

Особенно Сачи побеспокоило, что Telegram Desktop предлагает закрыть доступ к приложению паролем. Даже если эта мера остановит посторонних от прямого чтения чатов, они могут беспрепятственно скопировать базу данных. Студент заключает, что это создает иллюзию защищенности среди рядовых пользователей.

Telegram — не первый мессенджер, который подвергся подобным обвинениями. Ранее француз Натаниэль Сюиш высказал аналогичные претензии к Signal. Программа хранила переписку в виде JSON-файлов, открытых для чтения.

Почему это не проблема

Оба случая не компрометируют мессенджеры. И Telegram, и Signal ручаются лишь за безопасность своих протоколов передачи данных. Защита устройств от постороннего доступа остается за пользователем. Это признает и сам Сачи, отмечая вклад Signal и Telegram в улучшение онлайн-безопасности. Он указывает, что у его работы просветительская цель. Защищенные мессенджеры часто используют активисты и, при завышенных ожиданиях от безопасности, могут поставить свою жизнь под угрозу.

Recently I've released information about flaws in two encrypted messaging apps @signalapp and @telegram and while both do an amazing job at helping you improve your online privacy. Both apps were vulnerable to a few local attacks. The argument comes up that they were not intended

— Nathaniel Suchy (@nathanielrsuchy) October 31, 2018

Ситуацию вокруг Telegram осветили СМИ. В публикациях Сачи часто называли «экспертом по кибербезопасности», а хранение незащищенных файлов — уязвимостью. Ажиотаж вызвал реакцию Павла Дурова, основателя Telegram. В своем канале предприниматель написал:

C технической точки зрения утверждение заявившего об уязвимости сводится к следующему:

«Eсли бы у меня был доступ к Вашему компьютеру, я бы смог прочитать Ваши сообщения».

Само по себе это утверждение очевидно, но его завуалированное описание позволяет запутать человека, далекого от технологий. Три года назад я рассказывал о похожем случае.

Случай, о котором упоминает Дуров — разбор заявления о том, что защиту Telegram на Android можно обойти, получив Root-доступ к устройству. Тогда основатель Telegram объяснял, почему ключи для расшифровки переписки в локальной базе данных хранятся на устройстве. Если бы они отсутствовали, программа не смогла бы даже отобразить сообщения. Дуров подчеркивал, что при получении контроля над устройством, винить мессенджер в небезопасном хранении данных — спекуляция.

Ранее AIN.UA уже рассказывал, что можно сделать для защиты файлов на Windows и Mac.