Дуров ответил на сообщения СМИ об опасной уязвимости в приложении Telegram

Основатель мессенджера Telegram Павел Дуров опроверг сообщения об уязвимости приложения Telegram для настольных компьютеров. Ранее инженер из США Натаниэль Сачи в Twitter заявил, что приложение хранит сообщения в незашифрованном виде.

29 октября Сачи написал в Twitter, что приложение сохраняет переписку в незашифрованной базе данных SQLite. Туда попадают все сообщения, включая «секретного чата» в мессенджере. Таким образом, можно получить доступ к переписке в Telegram, если есть доступ к компьютеру. На пост американца обратил внимание портал Bleeping Computer, затем его распространили и другие СМИ.

Дуров заявил, что журналисты не разобрались в сути проблем с безопасностью и опубликовали «очередное сообщение о несуществующей уязвимости». «C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: «Eсли бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения», — написал он в своем Telegram-канале.

Основатель мессенджера добавил: утверждение о том, что доступ к компьютеру позволяет читать переписку пользователя, — очевидно. Он напомнил, что три года назад уже рассказывал о похожем случае.

В 2015 году Дуров рассказывал, что некоторые пользователи обращали внимание: если злоумышленник получит полный доступ (root access) к чужому телефону с операционной системой Android, то сможет читать и переписку в Telegram. 

«Поскольку злоумышленник, у которого есть доступ к корневым файлам телефона, может иметь доступ к диску и памяти устройства, сообщения Telegram не должны храниться в незашифрованном виде в памяти телефона», — говорилось, в частности, в одном из блогов, автор которого утверждал, что «взломал шифрование Telegram».

Однако Павел Дуров подчеркивал, что «очевидный парадокс» такого предложения заключается в том, что ключи шифрования должны храниться на устройстве, иначе сообщения просто не будут отображаться на экране телефона. Таким образом, хотя идея может казаться разумной для неспециалиста, она никоим образом не может защитить от злоумышленников, которые уже имеют доступ к памяти и диску устройства, объяснял он.