На это обратил внимание инженер из соедененных штатов Натаниэль Сачи.
О своем открытии Сачи сказал порталу BleepingComputer, публикацию которого дальше пересказывают самые различные СМИ.
Приложение Telegram Desktop не зашифровывает переписку пользователя, информирует BleepingComputer. Оказалось, что во время установки Signal Desktop делает зашифрованную БД SQLite (db.sqlite), где сохраняет сообщения пользователя.
Все переписки мессенджера Telegram сохраняются в незашифрованной базе SQLite, при этом шифрование не включается даже в том случае, ежели активирован секретный чат. Поэтому, чтобы отыскать ключ, по утверждению Сачи, ему не потребовалось прилагать никаких усилий. Сам Telegram Desktop защищен паролем для входа, чтобы ограничить доступ к приложению чужих лиц, однако описанный параметр безопасности не предполагает шифрования. Тоесть, каждый хакер, получивший доступ к компьютеру жертвы сумеет получить пароль для входа в Telegram жертвы. Результат печальный: оказалось, что сообщения, которые отправлены в этот чат, попадают в ту же самую незащищенную информационную базу. Исследователю удалось просмотреть изображения, изменив их расширение. В БД можно найти имена и номера телефонов, связанные друг с другом, а еще переговоры из «секретных чатов».
Работники Telegram пока никак не отреагировали на обнаружение уязвимости. «Само по себе это утверждение очевидно», — прокомментировал сообщение об уязвимости создатель Telegram Павел Дуров.