Telegram-клиент для macOS версии 7.3 хранит локальные пароли в формате plain-text на внутреннем хранилище компьютера.

11 февраля 2021 года ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) рассказал в своем блоге, что он обнаружил две уязвимости в Telegram-клиенте версии 7.3 для macOS. Одна из них относилась к секретным чатам, вторая была в системе хранения локального пароля. В новой версии мессенджера 7.4 для macOS эти проблемы исправлены. Эксперт получил за нахождение этих уязвимостей награду от Telegram в размере 3 тыс. евро.

Первая уязвимость под номером CVE-2021-27205, которую обнаружил Мишра, связана с тем, что контент из самоуничтожающихся сообщений в секретных чатах хранится локально на ПК после исчезновения из текущей переписки, и его можно просмотреть.

Мишра пояснил, что при записи и отправке пользователем видеосообщения через обычный чат, клиентское приложение передает точный путь, по которому оно сохранено на ПК. В секретном чате данные о пути не передаются, но записанный контент можно найти по такому же пути. Вдобавок, после отработки механизма самоуничтожения контента в секретном чате, локально файл не удаляется и его можно просматривать.

Пример нахождения на локальном хранилище самоуничтожившегося видеосообщения из секретного чата.

Вторая уязвимость под номером CVE-2021-27204 в Telegram-клиенте версии 7.3 для macOS связана с тем, что приложение хранит локальные пароли в виде обычного текста. Файл в формате JSON с открытыми паролями можно было найти, например, по этому пути "//Users/<user_name>/Library/ Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata./"

Пример отображения локального пароля в виде обычного текста.