Руководство Telegram отрицает наличие уязвимости в приложении для защищённого общения

25 февраля 2015

Руководство компании Telegram, разработавшей одноимённое приложение по защищенному обмену сообщениями, отрицает наличие в мессенджере уязвимости, позволяющей получить доступ к переписке пользователей. Предположительная брешь была обнаружена президентом Zimperium Зуком Аврахамом (англ. Zuk Avraham), о чём он написал в блоге компании в понедельник, 23 февраля 2015 года.

Аврахам не пытался напрямую взломать зашифрованные сообщения. Вместо этого он использовал эксплоит в ядре Android, позволяющий получить права суперпользователя, и проанализировал, как Telegram обрабатывает переписку в памяти устройства. Это позволило ему получить доступ к расшифрованным сообщениям.

Пресс-секретарь Telegram Маркус Ра (англ. Markus Ra) заявил, что ни одно приложение не может быть защищенным от осуществленной Аврахамом атаки.

В электронном письме изданию The Next Web Ра сообщил:

«Ни одно приложение не может быть безопасным, если у взломщика есть привилегии суперпользователя. К примеру, чтобы показать что-нибудь на экране, нужно поместить эти данные в память. Атакующий с привилегиями суперпользователя может прочитать всю память устройства.»

Ра подчеркнул, что уязвимости на системном уровне наподобие той, которую использовал Аврахам, могут быть исправлены лишь производителями ОС.

Для своего исследования Аврахам использовал устройство, работающее под управлением устаревшей версии Android 4.2.2 Jelly Bean. Он проэксплуатировал уязвимость TowelRoot, позволяющую нелегитимно получить привилегии суперпользователя. После этого исследователь проанализировал, как Telegram хранит коммуникации в рамках «секретных чатов».

Telegram не использует шифрование «из конца в конец» во всех сообщениях. Для того чтобы активировать эту функцию, пользователю требуется создать секретный чат.

Аврахам создал дамп памяти процесса Telegram и поискал следы созданных им сообщений. Он обнаружил написанные им слова, сохраненные в чистом виде. Дальнейшее расследование показало, что секретные чаты хранились в файле cache4.db, находящемся в папке files, и сообщения можно было прочесть в текстовом формате. Более того, специалист утверждает, что смог найти данные удаленных чатов в памяти программы.

Эксперт уведомил Telegram об обнаруженной проблеме 18 января 2015 года, но так и не получил ответа.

 

ИсточникиПравить


 

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.