Telegram на MacOS [предположительно] тоже локально хранит переписку в доступном виде
Иллюстрация bleepingcomputer.com
Никогда такого не было, и вот опять…
Исследователь из США Натаниэль Сачи обнаружил, что приложение Telegram не защищает шифрованием локальную копию переписки пользователя:
Telegram хранит ваши сообщения в незашифрованной базе данных SQLite. По крайней мере, мне не пришлось прилагать усилия, чтобы найти ключ в этот раз. Хотя [сообщения] довольно трудно просматривать (наверное, надо написать какой нибудь вспомогательный скрипт на python?) — это очень похоже на проблему с Signal
UPD Информация подается в том виде, в каком она была в первоисточнике и твиттере исследователя.
UPD 2 Поступил разоблачительный комментарий от Павла Дурова
Натаниэль Сачи проверил и функцию «секретного чата» в приложении Telegram for macOS (в версии для Windows секретных чатов нет, спасибо mwizard, однако в первоисточнике упоминается именно Telegram Desktop). Выяснилось, что сообщения из секретного чата попадают в открытом виде в ту же же базу данных, что и обычные сообщения. Т.е. хотя передача данных для секретных чатов достаточно хорошо защищена, локальная копия сообщений из таких чатов локально хранится без какой-либо защиты от самого приложения.
Telegram поддерживает установку локального пин-кода для предотвращения несанкционированный доступ к запущенному приложению, но эта функция не предполагает никакой дополнительной защиты для локальной базы данных SQLite с историей сообщений (со слов исследователя).
Отправленные медиафайлы в переписках также не особо скрываются, а только обфусцируются. Натаниэлю Сачи понадобилось лишь поменять расширение файла, чтобы просмотреть фото из своего чата.
Напомню, несколько дней назад хакер Метью Сюиш выявил аналогичную проблему с отсутствием защиты локальной базы истории сообщений в приложении Signal.
Шпионская программа захватывает макбуки и крадет данные из Telegram
Программа XCSSET, изначально атакующая разработчиков ПО для macOS, обзавелась функциями кражи данных из множества приложений. Одна из причин — недостатки «песочницы» macOS.
В прицеле Telegram
Эксперты Trend Micro опубликовали исследование, посвященное вредоносной программе XCSSET. Она уже более года атакует системы под macOS. Основной метод проникновения в систему — инъекция вредоносного кода в локальные проекты Xcode по разработке ПО для macOS. Вредонос начинает срабатывать после компиляции проекта.
XCSSET постепенно обрастает новой функциональностью, и в недавних версиях добавилась возможность красть данные из клиентов Telegram и пароли, хранящиеся в Google Chrome.
Для кражи данных из Telegram вредонос создает архив telegram.applescript в папке keepcoder.Telegram (в Group Containers). Как выяснили эксперты Trend Micro, достаточно скопировать весь каталог ~/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram с одного Mac на другой, чтобы при открытии Telegram на второй машине клиент уже был залогинен как легитимный пользователь с первого Mac. Таким образом, легко осуществить перехват аккаунта и получить доступ к любой переписке.
Вредонос под macOS ворует данные из Telegram и Google Chrome
«В macOS папка “песочницы” для приложений — ~/Library/Containers/com.xxx.xxx и ~/Library/GroupContainers/com.xxx.xxx — доступна обычным пользователям с правами на чтение и запись. Этим она отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт может украсть все данные, хранящиеся в папке “песочницы”, — говорится в исследовании TrendMicro. — Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных в папке “песочницы”, особенно тех, что связаны с логинами».
Chrome и другие
Эксперты также проанализировали метод кражи паролей, хранящихся в Google Chrome. Этот метод известен как минимум с 2016 г. Он предполагает получение ключа безопасного хранения (Safe Storage Key) к Chrome, который сам располагается в пользовательской связке ключей.
Тут на помощь злоумышленникам приходит социальная инженерия: с помощью обманного диалогового окна у пользователя выманиваются административные привилегии, так что злоумышленники могут расшифровать все пароли к Chrome и вывести их на удаленный сервер.
XCSSET содержит скрипты для кражи данных из таких приложений как «Контакты», «Заметки», Evernote, Opera, Skype и WeChat. Кроме того, эксперты обнаружили модуль для атаки межсайтового скриптинга на экспериментальный браузер Chrome Canary. XCSSET срабатывает на последней версии macOS под названием BigSur.
Любопытно, что операторы вредоноса постоянно меняют домены для контрольных серверов XCSSET. В июне 2021 г., например, они использовали сразу четыре домена в зоне .ru, однако затем неожиданно отключили их. Пока экспертам TrendMicro не удается идентифицировать новые домены контрольных серверов. Известны два IP-адреса, но, по-видимому, ими операторы вредоноса больше не пользуются.
«По большому счету, речь идет о крупной проблеме с безопасностью реализации Telegram в macOS и недостаточности защиты “песочницы”, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Клонировать аккаунт простым копированием всего каталога не должно быть возможно в принципе. Вдобавок возникают вопросы к настройкам “песочницы” в macOS. С другой стороны, сперва необходимо занести в систему вредоносную программу, а в macOS немало средств для борьбы с этим. Сторонние антивирусы под macOS также детектируют XCSSET».
Telegram для Mac позволяет сохранять самоуничтожающиеся сообщения
Рекомендуем почитать:
Xakep #293. MikroTik Nightmare
- Содержание выпуска
- Подписка на «Хакер» -60%
Эксперты Trustwave обнаружили, что Telegram для Mac позволяет сохранять определенные самоуничтожающиеся сообщения из секретных чатов или просматривать их без ведома отправителя.
Исследователи пишут, что мультимедийные файлы (кроме вложений) сохраняются в папке кэша, расположенной по следующему пути, где XXXXXX — уникальный номер, связанный с конкретной учетной записью: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media.
При этом Telegram не будет загружать вложения (документы, включая, doc и pdf, а также аудио и видео), если получатель не попытается их открыть. Вероятно, это связано с размером файлов.
Когда получатель читает сообщение или просматривает его содержимое, запускается таймер самоуничтожения, после истечения которого содержимое сообщения автоматически удаляется. Однако обнаружилось, что самоуничтожающиеся медиа не удаляются из папки кеша, то есть пользователь свободно может сохранить их в другом месте.
Эту уязвимость в Telegram для macOS исправили в версии 7.7 (215786), после того как исследователи сообщили о ней разработчикам. Однако специалисты нашли дополнительную ошибку, которая так же позволяет сохранять самоуничтожающиеся медиа.
Поскольку голосовые и видеосообщения, изображения и данные о местоположении автоматически загружаются в кэш, пользователь может просто скопировать их оттуда перед просмотром в приложении.
«Боб отправляет Алисе мультимедийное сообщение (будь то голосовое или видеосообщение, изображение или данные о местоположении). Не открывая сообщение, поскольку оно может самоуничтожиться, Алиса идет в папку кеша и забирает оттуда медиафайл. Она также может удалить сообщение из папки, не читая его в приложении. При этом Боб не будет знать, прочитала ли Алиса сообщение, а Алиса сохранит постоянную копию медиафайла», — объясняют авторы доклада.
Разработчики Telegram сообщил исследователям, что вторая ошибка не будет исправлена, так как защититься от прямого доступа к папке приложения невозможно.
«Обратите внимание, что основная цель таймера самоуничтожения — служить простым способом автоматического удаления отдельных сообщений. Однако есть несколько способов обойти этот механизм, которые выходят за рамки того, что контролирует Telegram (например, копирование папки приложения), и мы четко предупреждаем пользователей об этих обстоятельствах: https://telegram.org/faq#q-can-telegram-protect-me-against-everything», — заявили разработчики.
Исследователи не согласны с этим объяснением. По их мнению, Telegram может исправить ошибку, к примеру, обрабатывая все самоуничтожающиеся медиа так же, как вложения, то есть не загружая их в локальную файловую систему до тех пор, пока они не будут открыты.
Из-за багов в Telegram для Mac можно навсегда сохранять самоуничтожающиеся сообщения
ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.
ИБ-специалисты компании Trustwave нашли простой способ обойти функцию самоудаления сообщений в Telegram. Они рассказали о двух уязвимостях в приложении мессенджера для macOS, которые делают опцию бесполезной, пишет Bleeping Computer.
Первый баг позволяет извлекать изображения, голосовые и видеозаписи и геопозицию из сообщений даже после того, как они самоликвидировались. Второй даёт доступ к мультимедийным файлам без необходимости открывать сообщения, в результате чего запускается команда на самоуничтожение.
Оба сценария связаны с тем, как Telegram сохраняет содержимое таких сообщений в кэше на устройствах под управлением macOS. Медиафайлы (кроме вложений) хранятся в папке, которая расположена по следующему пути: /Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media, где XXXXXX — уникальный номер учётной записи. Из этой папки они не удаляются и могут быть скопированы в любое место на жёстком диске.
Функция автоматического удаления сообщений доступна для секретных чатов, которые обеспечивают дополнительный уровень конфиденциальности в Telegram благодаря сквозному шифрованию. Она представляет собой таймер, который срабатывает по прошествии заданного юзером времени после прочтения сообщения собеседником, и оно бесследно исчезает с обоих устройств. Как выяснилось, не в случае macOS — в других операционных системах таких проблем нет.
Исследователи сообщили о багах команде Telegram, которая закрыла один из них в версии за номером 7.7. Сейчас владельцы «яблочных» компьютеров по-прежнему могут просматривать самоуничтожающиеся сообщения незаметно для отправителя. В Telegram сообщили, что исправить вторую уязвимость невозможно, поскольку никак нельзя защитить папку приложения от прямого доступа.
Исследователи с мессенджером не согласны. Они считают, что это вполне можно реализовать, если обрабатывать мультимедиа в самоудаляющихся сообщениях так же, как и вложения, и не загружать их на устройство, пока их не открыли.