#telegram #隐私 #漏洞 #Mac #密码 #安全
【Mac版Telegram被发现漏洞 造成没有真正销毁自毁视频与明文保存密码】
如果你在 Mac 上使用 Telegram,你应该升级到其最新7.4版本,因为该公司修复了两个可能影响你的隐私的关键漏洞。分别是没有删除 macOS 电脑上的自毁视频和以明文保存应用程序的密码。
安全研究人员 Dhiraj Mishra 在 Telegram 稳定的 macOS 客户端(7.3版本)中发现了这些漏洞,而 Telegram 颁发了3000美元的漏洞赏金。
Mishra 发现,由于一个 bug,即使从桌面客户端删除了媒体文件,媒体文件仍然存在于接收方的本地系统中。而如果发送者和接收者使用的是 macOS 应用,那么文件会在两端存储。
Mishra 还发现,用户可以应用一个密码来打开应用,但这个密码被以纯文本的形式存储在一个 JSON 文件中,任何能够访问电脑的人都可以读取。
Mishra 还说:我在2020年12月26日就向 Telegram 报告,到2021年1月6日才收到回复,直到1月30日推出的最新版本中才对漏洞进行了修复。Telegram 的责任披露政策一般,可以改进。(cnbeta)(thenextweb)(portswigger)
【Mac版Telegram被发现漏洞 造成没有真正销毁自毁视频与明文保存密码】
如果你在 Mac 上使用 Telegram,你应该升级到其最新7.4版本,因为该公司修复了两个可能影响你的隐私的关键漏洞。分别是没有删除 macOS 电脑上的自毁视频和以明文保存应用程序的密码。
安全研究人员 Dhiraj Mishra 在 Telegram 稳定的 macOS 客户端(7.3版本)中发现了这些漏洞,而 Telegram 颁发了3000美元的漏洞赏金。
Mishra 发现,由于一个 bug,即使从桌面客户端删除了媒体文件,媒体文件仍然存在于接收方的本地系统中。而如果发送者和接收者使用的是 macOS 应用,那么文件会在两端存储。
Mishra 还发现,用户可以应用一个密码来打开应用,但这个密码被以纯文本的形式存储在一个 JSON 文件中,任何能够访问电脑的人都可以读取。
Mishra 还说:我在2020年12月26日就向 Telegram 报告,到2021年1月6日才收到回复,直到1月30日推出的最新版本中才对漏洞进行了修复。Telegram 的责任披露政策一般,可以改进。(cnbeta)(thenextweb)(portswigger)