[Мессенджеры, Разработка под MacOS, IT-компании] Эксперт обнаружил уязвимости в Telegram-клиенте для macOS версии 7.3, сейчас они исправлены
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
Telegram-клиент для macOS версии 7.3 хранит локальные пароли в формате plain-text на внутреннем хранилище компьютера.
11 февраля 2021 года ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) рассказал в своем блоге, что он обнаружил две уязвимости в Telegram-клиенте для macOS версии 7.3. Она из них относилась к секретным чатам, вторая была в системе хранения локального пароля. В новой версии мессенджера для macOS (7.4) эти проблемы исправлены. Эксперт получил за нахождение этих уязвимостей награду от Telegram в размере 3 тыс. евро.
Первая уязвимость под номером CVE-2021-27205, которую обнаружил Мишра, связана с тем, что контент из самоуничтожающихся сообщений в секретных чатах храниться локально на ПК после исчезновения из текущей переписки и его можно просмотреть.
Мишра пояснил, что при записи и отправке пользователем видеосообщения через обычный чат, клиентское приложение передает точный путь, по которому оно сохранено на ПК. В секретном чате данные о пути не передаются, но записанный контент можно найти по такому же пути. Вдобавок, после отработки механизма самоуничтожения контента в секретном чате, локально файл не удаляется и его можно просматривать.
Извините, данный ресурс не поддреживается. :( Пример нахождения на локальном хранилище самоуничтожившегося видеосообщения из секретного чата.
Вторая уязвимость под номером CVE-2021-27204 в Telegram-клиенте для macOS версии 7.3 связана с тем, что приложение хранит локальные пароли в виде обычного текста. Файл в формате JSON с открытыми паролями можно было найти, например, по этому пути "//Users/<user_name>/Library/ Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata./"
Извините, данный ресурс не поддреживается. :( Пример отображения локального пароля в виде обычного текста.
===========
Источник:
habr.com
===========
Похожие новости:
- [Беспроводные технологии, Софт, Ноутбуки, IT-компании] Microsoft выпустила срочное исправление проблемы с BSOD из-за Wi-Fi в Windows 10, баг возник из-за предыдущих обновлений
- [Изучение языков] Тестируем 11 ботов для прокачки английского в Телеграм: полезный инструмент или чушь собачья?
- [Программирование, Разработка под Linux, Софт, IT-компании] Цветочные новости: разработчики ОС Fuchsia добавят поддержку запуска немодифицированных Linux-программ
- [Мессенджеры, Управление персоналом, Социальные сети и сообщества] Новая парадигма рекрутинга: кого и как искать в Clubhouse?
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, IT-компании] Яндекс рассказал о компрометации 4887 почтовых ящиков по вине сисадмина с высоким уровнем доступа
- [Информационная безопасность, Разработка игр, Игры и игровые приставки, IT-компании] Украденные данные CD Projekt Red проданы вне рамок аукциона
- [Мессенджеры, Социальные сети и сообщества, Финансы в IT] Дуров рассказал, как будет монетизироваться Telegram
- [Машинное обучение, IT-компании] Как датасеты аккумулируют в себе расизм и сексизм (перевод)
- [Анализ и проектирование систем, Go] Telegram на go, часть 2: бинарный протокол
- [Информационная безопасность, Разработка веб-сайтов, Исследования и прогнозы в IT, IT-компании] Основываясь на статистике: неофициальное предложение Топ-10 OWASP 2021
Теги для поиска: #_messendzhery (Мессенджеры), #_razrabotka_pod_macos (Разработка под MacOS), #_itkompanii (IT-компании), #_telegram, #_macos, #_messendzhery (
Мессенджеры
), #_razrabotka_pod_macos (
Разработка под MacOS
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Июл 05:08
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 4 месяца |
|
 Telegram-клиент для macOS версии 7.3 хранит локальные пароли в формате plain-text на внутреннем хранилище компьютера. 11 февраля 2021 года ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) рассказал в своем блоге, что он обнаружил две уязвимости в Telegram-клиенте для macOS версии 7.3. Она из них относилась к секретным чатам, вторая была в системе хранения локального пароля. В новой версии мессенджера для macOS (7.4) эти проблемы исправлены. Эксперт получил за нахождение этих уязвимостей награду от Telegram в размере 3 тыс. евро. Первая уязвимость под номером CVE-2021-27205, которую обнаружил Мишра, связана с тем, что контент из самоуничтожающихся сообщений в секретных чатах храниться локально на ПК после исчезновения из текущей переписки и его можно просмотреть. Мишра пояснил, что при записи и отправке пользователем видеосообщения через обычный чат, клиентское приложение передает точный путь, по которому оно сохранено на ПК. В секретном чате данные о пути не передаются, но записанный контент можно найти по такому же пути. Вдобавок, после отработки механизма самоуничтожения контента в секретном чате, локально файл не удаляется и его можно просматривать. Извините, данный ресурс не поддреживается. :( Пример нахождения на локальном хранилище самоуничтожившегося видеосообщения из секретного чата. Вторая уязвимость под номером CVE-2021-27204 в Telegram-клиенте для macOS версии 7.3 связана с тем, что приложение хранит локальные пароли в виде обычного текста. Файл в формате JSON с открытыми паролями можно было найти, например, по этому пути "//Users/<user_name>/Library/ Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata./" Извините, данный ресурс не поддреживается. :( Пример отображения локального пароля в виде обычного текста. =========== Источник: habr.com =========== Похожие новости:
Мессенджеры ), #_razrabotka_pod_macos ( Разработка под MacOS ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Июл 05:08
Часовой пояс: UTC + 5