[Мессенджеры, Разработка под MacOS, IT-компании] Эксперт обнаружил уязвимости в Telegram-клиенте для macOS версии 7.3, сейчас они исправлены

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
13-Фев-2021 15:31


Telegram-клиент для macOS версии 7.3 хранит локальные пароли в формате plain-text на внутреннем хранилище компьютера.
11 февраля 2021 года ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) рассказал в своем блоге, что он обнаружил две уязвимости в Telegram-клиенте для macOS версии 7.3. Она из них относилась к секретным чатам, вторая была в системе хранения локального пароля. В новой версии мессенджера для macOS (7.4) эти проблемы исправлены. Эксперт получил за нахождение этих уязвимостей награду от Telegram в размере 3 тыс. евро.
Первая уязвимость под номером CVE-2021-27205, которую обнаружил Мишра, связана с тем, что контент из самоуничтожающихся сообщений в секретных чатах храниться локально на ПК после исчезновения из текущей переписки и его можно просмотреть.
Мишра пояснил, что при записи и отправке пользователем видеосообщения через обычный чат, клиентское приложение передает точный путь, по которому оно сохранено на ПК. В секретном чате данные о пути не передаются, но записанный контент можно найти по такому же пути. Вдобавок, после отработки механизма самоуничтожения контента в секретном чате, локально файл не удаляется и его можно просматривать.
Извините, данный ресурс не поддреживается. :( Пример нахождения на локальном хранилище самоуничтожившегося видеосообщения из секретного чата.
Вторая уязвимость под номером CVE-2021-27204 в Telegram-клиенте для macOS версии 7.3 связана с тем, что приложение хранит локальные пароли в виде обычного текста. Файл в формате JSON с открытыми паролями можно было найти, например, по этому пути "//Users/<user_name>/Library/ Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata./"
Извините, данный ресурс не поддреживается. :( Пример отображения локального пароля в виде обычного текста.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_messendzhery (Мессенджеры), #_razrabotka_pod_macos (Разработка под MacOS), #_itkompanii (IT-компании), #_telegram, #_macos, #_messendzhery (
Мессенджеры
)
, #_razrabotka_pod_macos (
Разработка под MacOS
)
, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 19:30
Часовой пояс: UTC + 5