This media is not supported in your browser
VIEW IN TELEGRAM
r/#gaming
Гарфилд уже не тот
Гарфилд уже не тот
This media is not supported in your browser
VIEW IN TELEGRAM
r/#gifs
Подозревающая рыба что-то подозревает
Подозревающая рыба что-то подозревает
⚡️Десктоп версия Telegram серьёзно уязвима (предварительно)
Исследователь в области информационной безопасности Натаниэль Сачи обнаружил, что Telegram хранит всю переписку на локальном диске в незашифрованном виде (неважно, секретные чаты или нет). Любой при помощи пары запросов к бд сможет ее прочитать. Ждём комментарий Дурова.
https://mobile.twitter.com/nathanielrsuchy/status/1057253304844062720
Исследователь в области информационной безопасности Натаниэль Сачи обнаружил, что Telegram хранит всю переписку на локальном диске в незашифрованном виде (неважно, секретные чаты или нет). Любой при помощи пары запросов к бд сможет ее прочитать. Ждём комментарий Дурова.
https://mobile.twitter.com/nathanielrsuchy/status/1057253304844062720
Twitter
Nathaniel Suchy (They/Them🏳️🌈)
Password protected or not your @telegram messages belong to me #pwned #bugbounty #fulldisclosure #infosec :)))
Мы никогда не позиционировали себя как канал, посвященный кибербезопасности, но уведомляли вас о главных событиях в этой области в общем порядке.
Сегодня, один из самых «кибер безопасных каналов» обвинил нас в «желтизне, хайпе и дешевых заголовках»
Объясняем, почему он не прав:
1. Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил, что переписка в телеграме, хранящаяся на вашем компьютере, не шифруется. Мы об этом сообщили с ссылкой на источник, даже в заголовке написали «предварительно». Где здесь желтизна?
2. Александр (автор канала) обвиняет нас в неправильном трактовании слова «уязвимость», а также считает, что «Хранение переписки в незашифрованном виде не является уязвимостью».
Окей, поехали
Во-первых, телеграм - это не просто сервера для пересылки сообщений, но еще и клиентское ПО, которое разработано НЕ сторонними разработчиками. Более того, в десктопной версии Telegram есть возможность настроить доступ по паролю, из этого следует вывод, что вся информация, которая хранится внутри приложения, должна быть доступна только при вводе пароля (иначе зачем он нужен?). Но оказывается, что доступ к этим данным можно получить и без него. Это ли не уязвимость? (Вот, кстати, определение этого термина)
Во-вторых, по логике Александра шифровать данные вообще не имеет смысла, ведь есть же вирусы, которые могут управлять комьютером удаленно. За эту идею благодарить Александра должны тысячи IT-компаний, которые зачем-то тратят миллаирды долларов каждый год на шифрование данных ( видимо они просто не знали про вирусы). Теперь сэкономят кучу денег!
В-третиьх, дело тут не в вирусах. А в том, что если ваш компьютер вдруг украли или его изъял товарищ майор, то просто отсоединив жесткий диск, можно будет прочитать всю переписку (включая секретные чаты), независимо от количества паролей. Это ли не уязвимость?
На прошой неделе похожие проблемы были обнаружены в Signal, тогда все СМИ, включая западные, назвали это «wide open» (дырой), но наш «кибер эксперт» почему-то промолчал. Пруфы тут
Судить о том, действительно ли Telegram не шифрует переписку - не наша работа. Наша работа быстро и честно сообщить вам информацию со ссылкой на источник, что мы делали, делаем и будем делать.
3. Александр, вас мы бы хотели попросить вести себя посдержанее. А то в этой ситуации, больше всего на школьника похожи вы. Мы понимаем, что вы привыкли к такому стилю письма как раз со школьных времен. Но те времена прошли! Больше необязательно пытаться транслировать свои личные комплексы на весь интренет! Поменьше злобы, побольше доброты! Оглянитесь, мир прекрасен! О его красоте, разнообразии и насыщенности мы, кстати, постоянно пишем в нашем канале, так что заходите на огонек:
https://t.me/retranslyator
Спасибо за внимание, и хорошего дня
Пост автора:
t.me/alexlitreev_channel/917
UPD
1.По поводу секретных чатов на декстопе: Они есть в MAC версии
2. По поводу ответа Дурова:
Ещё раз, чтобы воспользоваться отсутствием шифрования ПОЛНЫЙ доступ к устройству не нужен.
Сегодня, один из самых «кибер безопасных каналов» обвинил нас в «желтизне, хайпе и дешевых заголовках»
Объясняем, почему он не прав:
1. Желтизны у нас не было и никогда не будет. Конкретно сегодняшняя новость про уязвимость в телеграме: Эксперт, занимающийся кибербезопасностью обнаружил, что переписка в телеграме, хранящаяся на вашем компьютере, не шифруется. Мы об этом сообщили с ссылкой на источник, даже в заголовке написали «предварительно». Где здесь желтизна?
2. Александр (автор канала) обвиняет нас в неправильном трактовании слова «уязвимость», а также считает, что «Хранение переписки в незашифрованном виде не является уязвимостью».
Окей, поехали
Во-первых, телеграм - это не просто сервера для пересылки сообщений, но еще и клиентское ПО, которое разработано НЕ сторонними разработчиками. Более того, в десктопной версии Telegram есть возможность настроить доступ по паролю, из этого следует вывод, что вся информация, которая хранится внутри приложения, должна быть доступна только при вводе пароля (иначе зачем он нужен?). Но оказывается, что доступ к этим данным можно получить и без него. Это ли не уязвимость? (Вот, кстати, определение этого термина)
Во-вторых, по логике Александра шифровать данные вообще не имеет смысла, ведь есть же вирусы, которые могут управлять комьютером удаленно. За эту идею благодарить Александра должны тысячи IT-компаний, которые зачем-то тратят миллаирды долларов каждый год на шифрование данных ( видимо они просто не знали про вирусы). Теперь сэкономят кучу денег!
В-третиьх, дело тут не в вирусах. А в том, что если ваш компьютер вдруг украли или его изъял товарищ майор, то просто отсоединив жесткий диск, можно будет прочитать всю переписку (включая секретные чаты), независимо от количества паролей. Это ли не уязвимость?
На прошой неделе похожие проблемы были обнаружены в Signal, тогда все СМИ, включая западные, назвали это «wide open» (дырой), но наш «кибер эксперт» почему-то промолчал. Пруфы тут
Судить о том, действительно ли Telegram не шифрует переписку - не наша работа. Наша работа быстро и честно сообщить вам информацию со ссылкой на источник, что мы делали, делаем и будем делать.
3. Александр, вас мы бы хотели попросить вести себя посдержанее. А то в этой ситуации, больше всего на школьника похожи вы. Мы понимаем, что вы привыкли к такому стилю письма как раз со школьных времен. Но те времена прошли! Больше необязательно пытаться транслировать свои личные комплексы на весь интренет! Поменьше злобы, побольше доброты! Оглянитесь, мир прекрасен! О его красоте, разнообразии и насыщенности мы, кстати, постоянно пишем в нашем канале, так что заходите на огонек:
https://t.me/retranslyator
Спасибо за внимание, и хорошего дня
Пост автора:
t.me/alexlitreev_channel/917
UPD
1.По поводу секретных чатов на декстопе: Они есть в MAC версии
2. По поводу ответа Дурова:
Ещё раз, чтобы воспользоваться отсутствием шифрования ПОЛНЫЙ доступ к устройству не нужен.
BleepingComputer
Signal Desktop Leaves Message Decryption Key in Plain Sight
A mistake in the process used by the Signal Desktop application to encrypt locally stored messages leaves them wide open to an attacker.