Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0
— Kirill Firsov (@k_firsov) 23 июля 2016 г.
Кирилл Isis Фирсов, известный по поиску уязвимостей и багов в популярных веб-проектах, сообщил в своём твиттере об обнаружении интересной особенности в Telegram Messenger и получении реакции от Павла Дурова в стиле «фича, а не баг»: все сообщения, вставленные из буфера обмена, в том числе в секретных чатах, пишутся в лог на устройстве.
Павел Дуров ответил Кириллу в Twitter-переписке и сообщил, что данная проблема наблюдается только на Mac и именно в Telegram Messenger, а не Telegram Desktop. Также Павел сообщил, что приложения из AppStore могут только писать в syslog, однако прав на чтение они не имеют.
@k_firsov (3)... AppStore apps are sandboxed and can only WRITE to syslog, not READ it: https://t.co/vjoU8QVtza pic.twitter.com/1tgPMDBfak
— Pavel Durov (@durov) 24 июля 2016 г.
Комментарий Кирилла Фирсова:
Понятно, что доверять клавиатуре не стоит и перехватывать её могут и другие программы, но мы говорим именно о Телеграме и о его безопасности.
Можно представить ситуацию: я депутат, купил лэптоп и установил с апстора Telegram. Веду деловую переписку, копирую важную информацию из документа (который на usb флешке) в окно своему собеседнику. Диалог окончен, секретный чат удалён, флешка уничтожена. А через неделю я попадаюсь на малварь (вирус) и моя важная информация уже не только моя.
Также можно добавить о возможности чтения этой информации компетентными органами.
Телеграм утвержает, что платит за сообщение об уязвимости в собственных приложениях, но это не тот случай — писать о баге сначала надо было на security@telegram.org, из-за публичного твита Кирилла вознаграждать его за уязвимость компания отказалась, о чём и сообщила в официальном письме.
Разработчик приложения — Михаил Филимонов, сообщил Кириллу в личной переписке, что баг исправлен и ближайшее обновление закроет уязвимость.