باگ امنیتی در سکرت چت تلگرام

بر اساس این باگ امنیتی، پس از آنکه یک فایل، عکس، ویدئو یا لوکیشن، بر اساس مدت زمان مشخصی که برای از بین رفتن خودبه‌خود (Self-Destruct) آنها تنظیم شده، از دستگاه طرفین پاک می‌شود، همچنان در کش تلگرام قابل دسترسی است.

بواسطه‌ی این باگ، هرگونه پیامی شامل موارد فوق، در کش تلگرام در مسیر زیر ذخیره می‌شود:

Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media

فایل‌های سکرت چت نیز، در همین دایرکتوری با پیشوند  “secret-file-xxxxxx” ذخیره می‌شوند.

دو سناریوی باگ امنیتی تلگرام

۱. پیامی ارسال می‌شود، دریافت کننده آن را باز می‌کند و می‌خواند، و بر اساس زمان تعیین شده، پیام پاک می‌شود، اما پیام در فولدر کش ذخیره شده است.

۲. پیامی ارسال می‌شود، اما دریافت کننده بدون باز کردن آن، می‌تواند با مراجعه به فولدر کش، بدون متوجه شدن ارسال کننده، آن را بخواند و حتی پاکش کند.

باگ سکرت چت تلگرام و پیوست‌ها

گفتنی است که در قابلیت Self-Destruct در سکرت چت، اگر عکس یا ویدئویی را به یک پیام پیوست کرده باشید، پیش از باز کردن آن در کش قابل دسترسی نیست.
تنها پس از باز کردن آنهاست که پیوست‌ها در کش ذخیره می‌شود و پس از اتمام زمان تنظیم شده، پاک می‌شوند.

اقدامات تلگرام جهت برطرف کردن باگ

تلگرام پس از دریافت گزارش این باگ، مورد مربوط به سناریوی اول را برطرف کرد اما، سناریوی دوم حل نشده باقی ماند.

این باگ مربوط به سیستم عامل مک بوده که در نسخه ۷.۵ تلگرام وجود داشته و در نسخه ۷.۸.۱ به بعد آن برطرف شده است.