[Из песочницы] Тревожные симптомы Telegram
Telegram для меня оказался очень удобным и безопасным мессенджером. Определяющим при выборе оказался аспект безопасности, а именно — учрежденный конкурс по взлому алгоритма шифрования сообщений.Сам факт наличия такого конкурса очень положительно сказался на моем отношении и отношении тех, с кем я общаюсь, к Telegram. А вот ограниченный по времени характер конкурса привнес некоторые опасения относительно того, что при очередном обновлении алгоритм шифрования может быть изменен на уязвимую версию и приватная переписка станет доступна тем, кому она не предназначалась. Было бы логичным, если бы конкурс носил бессрочный характер. На мой взгляд, это могло бы добавить доверия к мессенджеру.
Но обеспечение конфиденциальности сообщений это не только сильные алгоритмы шифрования.Так при утере смартфона с установленным Telegram служба поддержки советует обратиться к оператору сотовой связи для блокировки SIM карты и с помощью встроенной функции Telegram произвести процедуру отключения сессий с других устройств. И если вы опасаетесь за свои данные (а опасаться есть за что), то вам следует очистить устройство удаленно (http://support.apple.com/kb/PH2701, www.google.com/android/devicemanager) или удалить аккаунт Telegram.
Но эти действия не гарантируют того, что приватные данные не станут доступны третьим лицам.
Мною случайно была обнаружена уязвимость (недокументированная возможность?), позволяющая получить доступ к файлам, которыми обменивались пользователи.
Суть заключается в следующем — если в секретном чате пользователи обменивались файлами, то удаление файлов по таймеру или вручную не происходит.
Файлы доступны тут — /SD-карта/Android/data/org.telegram.messenger/cache/. Никаким образом файлы не зашифрованы и доступ к ним не ограничен. Операционная система Android. Телефон с SD-картой. Версия Telegram 1.9.4.
Вы можете в этом убедиться, просмотрев эту папку на своем телефоне с ОС Android.
Таким образом, при получении физического доступа к телефону или его SD-карте существует возможность для третьих лиц получить доступ к файлам, которыми обменивались пользователи, даже если время жизни сообщений истекло или была использована возможность удаления содержимого чата по запросу.
Также существует возможность подмены файла — достаточно задать для файла такое же имя как у заменяемого и файл отразится в окне чата (тестировал на фотографии).
P.S. Информация была направленна на support@telegram.org 13 октября в 22:42 (UTC+3)UPDP.P. S. Поддержка молчит.