Share This
Связаться со мной
Крути в низ
Categories
//Эксперт обнаружил уязвимости в Telegram-клиенте версии 7.3 для macOS, сейчас они исправлены

Эксперт обнаружил уязвимости в Telegram-клиенте версии 7.3 для macOS, сейчас они исправлены

13.02.2021Category : My Habr

ekspert obnaruzhil ujazvimosti v telegram kliente versii 73 dlja macos sejchas oni ispravleny add11a3 - Эксперт обнаружил уязвимости в Telegram-клиенте версии 7.3 для macOS, сейчас они исправлены

Telegram-клиент для macOS версии 7.3 хранит локальные пароли в формате plain-text на внутреннем хранилище компьютера.

11 февраля 2021 года ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) рассказал в своем блоге, что он обнаружил две уязвимости в Telegram-клиенте версии 7.3 для macOS. Одна из них относилась к секретным чатам, вторая была в системе хранения локального пароля. В новой версии мессенджера 7.4 для macOS эти проблемы исправлены. Эксперт получил за нахождение этих уязвимостей награду от Telegram в размере 3 тыс. евро.

Первая уязвимость под номером CVE-2021-27205, которую обнаружил Мишра, связана с тем, что контент из самоуничтожающихся сообщений в секретных чатах хранится локально на ПК после исчезновения из текущей переписки, и его можно просмотреть.

Мишра пояснил, что при записи и отправке пользователем видеосообщения через обычный чат, клиентское приложение передает точный путь, по которому оно сохранено на ПК. В секретном чате данные о пути не передаются, но записанный контент можно найти по такому же пути. Вдобавок, после отработки механизма самоуничтожения контента в секретном чате, локально файл не удаляется и его можно просматривать.

Пример нахождения на локальном хранилище самоуничтожившегося видеосообщения из секретного чата.

Вторая уязвимость под номером CVE-2021-27204 в Telegram-клиенте версии 7.3 для macOS связана с тем, что приложение хранит локальные пароли в виде обычного текста. Файл в формате JSON с открытыми паролями можно было найти, например, по этому пути "//Users/<user_name>/Library/ Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata./"

Пример отображения локального пароля в виде обычного текста.

  • 2 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close