电报中的秘密聊天在设备上留下了自毁的媒体文件

广受欢迎的消息应用Telegram修复了macOS应用程序中的一个破坏隐私的漏洞，该漏洞使人们能够在音频和视频信息从秘密聊天中消失很久后，访问这些信息。

该漏洞是由安全研究人员Dhiraj Mishra在该应用程序的7.3版中发现的，他于2020年12月26日向Telegram透露了自己的发现。这个问题在1月29日发布的7.4版本中得到了解决。

与Signal或WhatsApp不同，电报上的对话默认情况下不进行端到端加密，除非用户明确选择启用称为“秘密聊天”的设备特定功能，该功能即使在电报服务器上也会对数据进行加密。作为秘密聊天的一部分，还可以选择发送自毁信息。

Mishra发现，当用户通过常规聊天记录并发送音频或视频消息时，应用程序泄露了记录的消息以“.mp4”格式存储的确切路径。打开“秘密聊天”选项后，路径信息不会溢出，但录制的消息仍会存储在同一位置。

此外，即使在用户在秘密聊天中收到自毁信息的情况下，即使该信息从应用程序的聊天屏幕上消失，系统仍可以访问该彩信。

“Telegram称‘超级秘密’聊天不会留下痕迹，但它会将这些信息的本地副本存储在自定义路径下，”米什拉告诉黑客新闻。

此外，Mishra还发现Telegram的macOS应用程序中存在第二个漏洞，该漏洞将本地密码以明文形式存储在位于“/Users/<；user_name>；/Library/Group Containers/<；*>；.ru.keepcoder.Telegram/accounts metadata/”下的JSON文件中

米什拉被授予€；3000美元，作为缺陷赏金计划的一部分，报告这两个缺陷。

今年1月，Telegram达到了每月5亿活跃用户的里程碑，部分原因是WhatsApp修改了隐私政策，包括与母公司Facebook共享某些数据，导致逃离WhatsApp的用户激增。

虽然该服务确实提供客户端-服务器/服务器客户端加密（使用名为“MTProto”的专有协议），而且当消息存储在电报云中时，值得记住的是，群聊天不提供端到端加密，所有默认聊天历史记录都存储在其服务器上。这是为了使跨设备轻松访问对话。

数字安全非营利组织Horizontal的创始人拉斐尔·米蒙（Raphael Mimoun）上个月说：“所以，如果你在打电报，想要一个真正的私人群组聊天，那就太倒霉了。”。