安全研究员Kirill Firsov发现,目前较为流行的聊天应用程序Telegram发生了数据泄露。在OS X版本中, 应用会将用户复制粘贴的文本写入到/var/log/system.log文件中(该文件也被称为syslog) ,从而对私人对话或笔记的内容进行备份。
MacOS 上的Telegram会把每一条粘贴的消息记录到syslog,即使是秘密的对话也不例外。@durov到底发生了什么?
—— Kirill Firsov(@k_firsov), 2016年7月23日
Telegram和最近市场上出现的很多新软件一样,致力于创建一个安全的聊天环境,并且自称比聊天应用程序WhatsApp“更加安全”。
Macs会将系统日志保存七天,而攻击者通常需要对设备进行物理访问才能阅读这些日志。不过,在企业环境中,日志消息有时会被转发到一个专用的日志服务器上,这将会创建一个不受用户控制的复本,也让窥探者有了可乘之机。
该应用的创始人Pavel Durov通过Twitter给予了回应,他说访问syslog文件是很难的,并且,想要读取复制粘贴的文本还有更容易的方法——“任何应用程序都可以读取你的剪贴板内容。”
@k_firsov…应用商店内的app不能访问syslog,但是任何应用程序都可以读取你的剪贴板。
——Pavel Durov (@durov) ,2016年7月24日,
他还指出,应用的漏洞被披露后,很快就得到了修补,所以现在Telegram的用户不必再担心数据泄漏了。
之前,由于较为关注安全和隐私,Telegram的使用率一直在上升,它也受到了注重隐私安全的用户和罪犯的青睐。
这个漏洞原本可能会对应用的声誉造成很大的影响,但是由于问题已经被迅速解决,影响范围会被缩小。
Facebook可能会为自己的聊天软件添加端到端加密,因此Telegram等服务需要更加谨慎,以免在竞争中处于不利地位。