Telegram for Mac 版本被 Trustware SpiderLabs 發現存在安全漏洞,即使雙方啟用 Secret chat 模式互傳訊息或影音檔案,收訊者仍可強行另存這些已被設定自動銷毁的訊息或檔案。被發現的兩個漏洞中已有一個被修補,但另一項仍未解決, Telegram 用戶在發送敏感訊息或檔案前要小心。
Telegram for Mac 處理私密檔案流程缺陷
Telegram 被發現新漏洞,網絡安全研究員發現 Telegram for Mac處理私密檔案的流程存在漏洞,用戶可以私下儲存已被設定自動銷毁的內容,而發訊者會全不知情,而且存在的漏洞共有兩個,在最新的 macOS 7.7 版本中,只解決了其中一個問題。
Telegram的 Secret Chat 模式提供多項私隱保護功能,當與收訊者建立 Secret Chat 聊天室後,互傳訊息將獲得端對端加密(end-to-end encryption),即使訊息或檔案被中途攔截也無法被破解。另外相關訊息或檔案也會在設定時限後被自動刪除。而 Trustware SpiderLabs 研究員卻發現, Telegram for Mac 用戶有方法將附件檔案私下儲存。網絡安全研究員解釋,漏洞發生於 Telegram 的處理流程,當 macOS 用戶閱讀私密檔案,就會自動儲存在緩衝資料夾中,但研究員發現即使過了自動刪除時限,相關檔案仍保存在緩衝資料夾中,因此 macOS 用戶只要進入緩衝資料夾便可將訊息或檔案另存到其他位置,換言之並未有被自動刪除。研究員向 Telegram 舉報後,相關漏洞已被修補。
閱讀前可先另存檔案
而另一漏洞發生在語音訊息、相片或影片檔案上,研究員指系統預設自動下載相關檔案,收訊者只要進入上述緩衝資料夾,便可在未閱讀該檔案前將檔案另存其他位置。研究員指雖然已向 Telegram 匯報相關漏洞,但對方只回應自動銷毁功能的初心只為幫助用戶自動刪除內容,並已在網站的 FAQ 版面提醒用戶,因此未有採取任何行動,所以有理由相信這個私隱問題將會繼續存在,用戶便不能再假設相關影音檔案真的會自動被完全刪除,在發出這些內容前便要三思。
多種方法可保存自動銷毁內容
事實上,雖然不少即時通訊軟件都有提供自動銷毁訊息及檔案功能,不過收訊者仍有不少方法可以私下保存,例如截取屏幕內容,或用其他裝置錄影訊息畫面,所以並沒有方法可以百份百肯定收訊者不能儲存相關訊息或檔案。如果以為啟動自動刪除功能就有保障,只能說句:少年你太年輕……