Исследователь Кирилл Фирсов обнаружил, что последняя версия Telegram Messenger из AppStore для OS X пишет сообщения в секретных чатах в системный лог-файл, что сводит на нет все усилия по обеспечению безопасности переговоров на конечных устройствах.
UPD: Пишется только то, что было вставлено из буфера обмена.
4470
просмотров
А телеграм под Windows не пишет в логи секретные чаты
потому что он не умеет в секретные чаты
И это странно
Пишет не все сообщения, а только вставленные из буфера. Что, в принципе, не является тайной. Доступ к буфера имеют любые приложения. И не будь этого лога в самом телеграме, то он реализуется любой другой программой
Ни одна программа не сохраняет их в читабельном для других ( читай гос. органов ) месте. Программа, которая себя позиционирует как защищенная - тем более не должна так делать.
Пруфы? Никто и ничто не мешает это делать. Поэтому есть куча программ для работы с буфером и они хранят всю историю
Это что тред полного взаимонепонимания?
А зачем она это делает? И да так можно прочитать старые сообщения
В секретных чатах сообщения уничтожаются через некоторое время.
Чё? Мы про лог говорим
Я думаю, что просто забыли выключить debug
Это как бы ставит под сомнение аргумент о надёжности благодаря открытости кода. Ну вот код открыт а такая херня висит и никто из аудиторов её долгое время не замечал.
Если это действитель был дебаг режим, то тут не на что обращать внимание. Потому что это стандартное дело.
Другое дело, если этот режим забыли выключить в релизной версии. Тут уже конечно вина на разработчиках.
Ты как себе представляешь дебаг режим что его не заметно в коде и что его не выключили? Там бы лог был засран мегабайтами дерьма если это случилось на уровне целого приложения.
Если в телеграме и предусмотрен флаг или условная компиляция для отладки то значит эта печать делалась без проверки этого флага и это баг.
Есть разные способы дебага. Кто-то просто в нужном месте вставляет вывод переменной в консоль, а перед релизом комментирует.
Я не знаю, что было тут, но похоже на такой случай.
Тогда отсутствие комментария это баг, который должны были найти при аудите. А ещё говнокод но это совсем другая история.
Да, кривые руки разраба.
И я не в курсе - если по открытое, разве есть обязательный аудит третьими лицами перед публикацией?
Я всегда считал, что это просто открытый репозиторий, куда коммитит разраб и все видно посторонним. И если хочешь - можешь посмотреть, покопаться, сделать пул-реквест. Но нет какого-то процесса одобрения релиза третьими лицами
Обязательного аудита нет конечно. Просто аргумент "мы надёжнее потому что код открыли" не верен в данном случае. Всем посрать на их код, его никто не смотрел толком.
Покажите скрин с секретным чатом в telegram desktop. Не нашёл. Как будто обсуждаете функционал, которого нет
Секретные чаты наверное только в режиме отладки работаю, а на десктопах его выключить не забыли )
Не понятно, кто здесь соснул больше - маководы или телеграм
Комментарий недоступен
скучные
Ждем отмазку
Комментарий недоступен
Какой-то эксперт с одним фото в тви поднял тысячи хайпа, при этом никакого открытия нет.
1. В последних версиях не пишет. Видимо, к нему попала бета.
2. К клавиатуре имеет доступ любое приложение, как и к буферу обмена.
Во всяком случае, если вы не копируете какие-то секретные коды доступа к ядерным ракеткам, а к вашему компьютеру никто не имеет доступа, кроме вас, вы в безопасности. (Приложение не может читать чужие логи.)
1. В последних версиях 2.16 и 2.17 (текущая версия) из апстора все работает, а в бете как раз которая еще не вышло это уже поправлено.
2. Допустим неделю назад пользователь общался в секрет чате и передавал секретные ссылки, информацию из документов и потом удалил и чат и документы с мака. А вот сегодня ты попался на малварь, и смотри что происходит, то, что ты копировал из документов в чатик есть в твоем сислоге. Пользователь уверен что удалил всю информацию. Кто в этом виноват?
Вы же понимаете, что простым "удалить" вы ничего не удаляете?
Тут согласен. В таком паттерне взаимодействия, конечно, проблема.
Но с другой стороны, почти все приложения сорят в операционной системе и оставляют следы, разве нет?
зачем говорить про другие приложения если речь о телеграме и о его секурности? Я купил лаптоп и поставил туда только телеграм и я хочу быть уверен, что все секурно.
секурно только жесткий диск в микроволновку сувать.
Отличный слоган, пускай телеграм его на сайте напишет
в действительности оно так и есть. всё, что сейчас собирается, через 10 - 20 лет, благодаря закону Мура, будет расшифровано за несколько минут. криптография она такая.
Но это не значит, что не нужно пытаться. Когда крадут переписку телеграмма из-за других программ, они отвечают "Телеграм секьюрен, у вас проблема с другими программами". А когда они сами проебываются на секьюрности, то аргумент "ну другие программы тоже имеют доступ к буферу"?
Есть мнение, что благодаря алгоритму Шора, а не закону Мура
Ну да, "благодаря" у меня некорректное. В любом случае, квантовые компьютеры решают.
Комментарий недоступен
Пока как-то неубедительно :)
-- @durov
Дело закрыто!
Агент "Дура" сообщает о своем раскрытии и запрашивает эвакуацию.