Telegram пишет в syslog сообщения вставленные из буфера обмена, в том числе и в секретных чатах


    Кирилл Isis Фирсов, известный по поиску уязвимостей и багов в популярных веб-проектах, сообщил в своём твиттере об обнаружении интересной особенности в Telegram Messenger и получении реакции от Павла Дурова в стиле «фича, а не баг»: все сообщения, вставленные из буфера обмена, в том числе в секретных чатах, пишутся в лог на устройстве.

    Павел Дуров ответил Кириллу в Twitter-переписке и сообщил, что данная проблема наблюдается только на Mac и именно в Telegram Messenger, а не Telegram Desktop. Также Павел сообщил, что приложения из AppStore могут только писать в syslog, однако прав на чтение они не имеют.


    Комментарий Кирилла Фирсова:
    Понятно, что доверять клавиатуре не стоит и перехватывать её могут и другие программы, но мы говорим именно о Телеграме и о его безопасности.

    Можно представить ситуацию: я депутат, купил лэптоп и установил с апстора Telegram. Веду деловую переписку, копирую важную информацию из документа (который на usb флешке) в окно своему собеседнику. Диалог окончен, секретный чат удалён, флешка уничтожена. А через неделю я попадаюсь на малварь (вирус) и моя важная информация уже не только моя.

    Также можно добавить о возможности чтения этой информации компетентными органами.

    Телеграм утвержает, что платит за сообщение об уязвимости в собственных приложениях, но это не тот случай — писать о баге сначала надо было на security@telegram.org, из-за публичного твита Кирилла вознаграждать его за уязвимость компания отказалась, о чём и сообщила в официальном письме.

    Разработчик приложения — Михаил Филимонов, сообщил Кириллу в личной переписке, что баг исправлен и ближайшее обновление закроет уязвимость.
    Share post

    Comments 61

      –22
      из-за публичного твита Кирилла вознаграждать его за уязвимость компания отказалась, о чём и сообщила в официальном письме

      Такие мелочные отговорки только подрывают доверие пользователей к программам оплаты поиска уязвимостей. Сколько раз уже встречалось подобное кидалово?
        +3
        Ну а в чем кидалово? Их деньги — их правила.
          +48
          Так себе «мелочная» отговорка. Bug bounty вынуждает в первую очередь репортить разработчикам, и только после фикса доносить до общественности. Как и любой white hat.
            +15
            Ну так человек даже базовый этикет не соблюдал, за что ему платить, за подмоченную репутацию?
              –17
              этикет — не этикет, но человек нашёл баг и только благодаря ему его исправили — вот за это по-хорошему и надо было бы платить, а не прятаться за этикет. В следующий раз он найденный баг продаст кому-то, кто готов заплатить — и будет абсолютно прав, потому что ходить кланяться за то, что ты же за разработчиков сделал хороший кусок работы — это неприятно
                +7
                Никто никуда не прячется. Он этот баг и так уже, по сути, продал, только не за деньги. За что ему ещё платить?
                  +1
                  Вот только не надо называть сознательное действие багом. Баги они от бессознательного...:)
                  +15
                  Телеграм готов платить за баги как и на черном рынке покупатели найдутся, но до того как они(баги) станут общественным достоянием.
                  Человек получил свою дольку славы вместо денег, кому-что важнее.
              • UFO just landed and posted this here
                • UFO just landed and posted this here
                    0
                    Не задавайте неудобных вопросов :) (дольше проживёте)
                      0
                      За счет кошелька Павла Дурова
                        +9

                        Как в анекдоте:


                        — Ты где деньги берёшь?
                        — В тумбочке!
                        — А кто в тумбочку деньги кладёт?
                        — Жена!
                        — А у неё деньги откуда?
                        — Я ей даю!
                        — А у тебя откуда?
                        — Я из тумбочки беру!

                        +7
                        1. Есть правила белого хакерства. Общеизвестные — сначала рапортуешь разработчикам.
                        2. Человек предпочел славу, а не бабло.

                        Все честно.
                        +43
                        Открыто публиковать уязвимость без предварительного сообщения разработчику в принципе не правильно.
                          +8
                          Собственно, обычно bug-bounty не в последнюю очередь выплачивается «за молчание», а точнее, за то время, которое понадобится разработчикам на исправление ошибки, что бы в это время ей никто не успел воспользоваться.

                          Представьте себе ситуацию: в банке находят уязвимость, позволяющую украсть неограниченную сумму, причем так, что отследить затруднительно или невозможно. На фикс бага уйдет, скажем, неделя.
                          Теперь посмотрим, как может поступить «белый шляп»(только 2 варианта, для сравнения):

                          1. Зарепортить баг по программе баунти
                          а) Банк боится репутационных потерь и тем или иным способом стимулирует разработчика не раскрывать эту информацию публично даже после фикса. Человек получает деньги, но не получает минутки славы. Что ж, тоже неплохо.
                          б) Банк адекватен, потому платит за сам баг, исправляет его, после чего сам выкладывает описание проблемы и имя человека, эту самую проблему решившего. Человек может запостить описание ошибки, бла-бла-бла.
                          Идеальный расклад — и рыбку съел, и на хабре отписался. Банк же получил исправленную ошибку и сэкономил много-много зеленых енотов, еще и показал свою честность, бла-бла-бла.
                          2. «Серый шляп» пишет в твиттере, хабре, сайте производителя и в спортлото про ошибку и выкладывает скрипт для эксплуатации бага. За неделю хомячки всего мира запускают этот скрипт, тырят мильйоны долярив, после чего банк накрывается медным тазом. «Шляпник» негодует, что ему ничего не выплатили. Sad, but true.

                          Вот Вам и причина, почему не стоит платить за подобные действия.

                            +3
                            1с) Банк не слишком адекватен, человек отправляется на исправительные работы с возмещением «ущерба».
                              0
                              Как говорил поручик Ржевский в анекдоте — «случаи разные бывают».
                                0

                                Человек отправляется на исправительные работы, возмещать «ущерб» ему оказывается нечем, за время разбирательства баг тихо и незаметно утекает в паблик без каких-либо доказательств, что выложил именно он, сам баг при этом не фиксится, ибо зачем, автора-то всё равно посадят, дальше смотри пункт 2.

                            +1

                            Пересылать сообщения в syslog, конечно, не нужно, но это не баг и угрожает безопасности обратно пропорционально криптостойкости syslog-a — ну если шифрование включено, конечно.

                              0
                              Зачем «юзверу вулгарису» шифровать лог? И чем его шифровать, кстати, каким ключом?
                                0

                                Ну я полагаю, что в Mac шифрование включено по умолчанию. Это банальное соблюдение безопасности: например, если устройство попадёт в руки злоумышленника, то он никак не сможет оставить своё пребывание бесследно.


                                Ну а что касается шифрования, то в journald, например, используется Forward Secure Sealing.

                              +2
                              На платформе Android запись в логи — это очень популярная проблема. Возьмите почти любое приложение, оно будет писать в логи что-то конфиденциальное. Кто-то пишет просто отдельные сообщения, какие-то почтовые приложения будут писать весь текст писем, а какие-то приложения пишут пароли. Но тот же Microsoft не считает уязвимостью такую запись данных в логи.
                                +1
                                ну последние не строят пиар компанию вокруг своей безопасности как тележка.
                                  +1
                                  В Android начиная с достаточно старой версии 4.3 доступ к этим логам есть только у самого приложения. Ну или у рута или у отладчика на подключённом компьютере. Так что это действительно не уязвимость.
                                    0
                                    Насколько я понимаю, вредоносное приложение, требующее рут, вполне подходит под описание малвари (вируса) из статьи.
                                      +9
                                      У малвари с правами рута есть много других возможностей похитить ваши данные.
                                      0
                                      А куда пишутся эти логи — на медленную флеш или и без того дефицитную оперативку?
                                      И можно ли (хотя бы на рутованном устройстве) сливать эти логи сразу в /dev/null?
                                      Если разработчик не забудет при сборке релиза отключить логирование — то на какое увеличение производительности можно рассчитывать?
                                        0
                                        >А куда пишутся эти логи
                                        В оперативку.
                                        >сливать эти логи сразу в /dev/null?
                                        Размер буфера журнала всего 256КБ, жалко, что ли? В настройках «для разработчика» можно выставить 64КБ. Меньше нельзя, только какими-нибудь хаками, наверное.
                                        >на какое увеличение производительности можно рассчитывать?
                                        Ни на какое. Ну только если приложение не пишет туда 100 раз в секунду, но я таких не встречал.

                                        А вообще это довольно полезная вещь. Иногда помогает починить телефон. Так я узнал, что один планшет перестал загружаться (я не шучу) из-за игры Iron Man, а один телефон стал сжирать мгновенно батарею из-за висевших всегда в памяти Angry Birds, которые в фоне пытались скачать рекламу.
                                          0
                                          А логи смотрели через ADB? Можно пример?
                                            0
                                            Да, команда adb logcat.
                                            Пример? Просто сделайте запрос «adb logcat» в гугл картинках.
                                    +1
                                    Давно было интересно, для чего существует 2 приложения на маке: Telegram Messenger и Telegram Desktop?
                                      0
                                      дабы были. )
                                      • UFO just landed and posted this here
                                        –9
                                        А ещё, в отличие от Viber и Whatsapp, Telegram:

                                        1. Не имеет постоянно включенного E2E шифрования (только для секретных чатов)
                                        2. Хранит переписку на серверах (кроме секретных чатов)

                                        Это не криминал, но по нынешним меркам уровень безопасности телеграма — так себе.
                                          +7
                                          А уровень безопасности вотсаппа с баном сторонних клиентов?
                                          // ну и вообще любые централизованные месенджеры, как бы они не кукарекали о безопасности это из оперы «верь мне, что это безопасно! пруфов не будет!»
                                          –3
                                          Безопасным можно считать только то, что имеет либо открытый исходный код, либо то, что ты написал сам. Я Telegram не пользуюсь (сейчас вот пытаюсь свой аналог защищенного мессенджера сделать, а пока пользуюсь Signal), но тем не менее я знаю, что порой бывает, что логи уходят разработчикам для тестирования.
                                            +4
                                            Так вот, у telegram desktop открытый исходный код. https://github.com/telegramdesktop/tdesktop
                                              +8
                                              habrahabr.ru/post/239287
                                              В 1998 году известный американский криптограф Брюс Шнайер написал:

                                              >Любой, начиная с самого бестолкового любителя и заканчивая лучшим криптографом, может создать алгоритм, который он сам не в состоянии взломать.

                                              Если вы не специалист по безопасности, то называть самописное ПО безопасным несколько самонадеянно.
                                                0
                                                Делает не безопасный, а защищённый. Например, от себя.
                                              –9
                                              «купил лэптоп и установил с апстора Telegram» — ну кто ж вам доктор, если вы ставите программу, которую написали по заданию ФСБ. зачем вам телеграм, люди? пользуйтесь вотсапом и не морочте никому голову.
                                                +12
                                                С утра на ногу в метро наступили, думал весь день накрылся, а тут вы, спасибо!
                                                  0
                                                  А Ватсап — не АНБ, в таком случае?
                                                  Андроидовская версия, к примеру, не руссифицирована вообще.
                                                    0
                                                    Ну, это уже политика пошла. Так можно и whatsapp заказом ЦРУ назвать.
                                                    +4

                                                    Видимо, NSLog(@"%@", pastedMessage); дебаговый убрать забыли. =)

                                                    –1
                                                    А что за непонятный срач в коментах? Хвастаются у кого анальный зонд с анастезией или без?
                                                      0
                                                      Какие вы всё-таки слова жуткие пишите. Срач, анальный зонд… ну куда годится?
                                                      –1
                                                      С одной стороны, не верится, что он предпочел донести информацию широкой аудитории, нежели доложить непосредственно разработчикам. Возможно, это дело принципа или, на самом деле, захотелось своей «минуты славы».
                                                      С другой стороны, все же не верится, так как телеграм считается одним из самых безопасных мессенджеров, который использует end-to-end шифрование, тем самым обеспечивая надежный уровень защиты. Вдобавок, возможность секретного чата. В любом случае, личные данные не могут быть известны третьему лицу.
                                                      www.bestvpnrating.com/blog/how-choose-secure-messenger
                                                      В данной статье указано, что телеграм по надежности занимает 2 место после WhatsApp. Так что делайте выводы)
                                                        0
                                                        который использует end-to-end шифрование, тем самым обеспечивая надежный уровень защиты

                                                        если не ошибаюсь у Telegram на десктопе до сих пор нет даже опционального end-to-end, не то что по умолчанию.
                                                          0
                                                          На виндузах нет. А так — есть.
                                                            0
                                                            Что-то не нахожу как в Linux desktop клиенте активировать end-to-end.
                                                              0
                                                              https://github.com/telegramdesktop/tdesktop/issues/871
                                                                0
                                                                Да, я наиболее активно на маке телеграммом пользовался и там они есть, я был сильно удивлён, когда не смог секретно законнектиться с вендовым десктопом. А на линуксы даже не посмотрел. Впрочем, если не ошибаюсь, есть же какой-то альтернативный клиент с секретчатом?
                                                                  0
                                                                  Нормального который одинаково хорошо работал бы на всех устройствах я не нашел. Есть Signal, но для декстопа оно сделано в виде Chrome App, что довольно странно. Помимо прочего телеграмм хранит все на сервере, что очевидно увеличивает риски утечки информации или даже изначально преследует цель сбор информации. Есть Tox, который по дизайну на серверах ничего не хранит, но пока что он не слишком работоспособен https://habrahabr.ru/company/eset/blog/306950/#comment_9731634
                                                                    0
                                                                    Альтернативный клиент ≠ альтернативный сервис.
                                                                    http://aseman.co/en/products/cutegram/
                                                                      0
                                                                      Не нашел работает ли там end-to-end шифрование по умолчанию и для всех ОС. Но даже если так, то в саму идею Телеграма заложена ущербность, так что о хорошей защищенности речи не идет.
                                                                        +1
                                                                        FYI функция в контексте telegram называется «secret chat» и именно по этой комбинации следует ее искать.
                                                                          0
                                                                          благодарю
                                                          0

                                                          Falcongaze вообще на днях заявила о перехвате телеграма:
                                                          https://falcongaze.ru/pressroom/news/falcongaze-announces-telegram-under-control-in-securetower.html

                                                            0
                                                            Только никого это не интересует, потому что эту пограмму специально устанавливают на рабочие компьютеры. По сути добровольный троян

                                                          Only users with full accounts can post comments. Log in, please.