Reading Time: 2 minutes

A feature secret chat do Telegram é conhecida por manter um canal seguro quando é iniciada uma conversação na aplicação. Ao que parece, as conversas são guardadas em plain-text no dispositivo.

A feature secret chat do Telegram é conhecida por manter um canal seguro quando é iniciada uma conversação na aplicação. Ao que parece, as conversas são guardadas em plain-text no dispositivo.

A aplicação desktop do Telegram possui uma feature denominada “secret chat” utilizada por muitos utilizadores que desejam total privacidade na sua comunicação.

O foco dos developers da Telegram centra-se na gestão e garantia de privacidade quando uma conversação é iniciada — a aplicação utiliza criptografia de ponta para garantir que nenhum terceiro possa examinar as conversas pelo caminho.

TelegramSQLite-extract-secret-chat

 

No entanto, um investigador veio a descobrir que a versão desktop da aplicação guarda as conversas e ficheiros de media sem proteção no próprio dispositivo. Todas as informações são extremamente fáceis de analisar uma vez que não são codificadas e muito menos cifradas.

Nathaniel Suchy, um engenheiro de engenharia reversa e  software developer, foi, capaz de examinar base de dados da app e as mensagens que foram guardadas durante uma conversação.

Suchy disse ainda que o Telegram não utiliza qualquer recurso criptográfico por forma a proteger a base de dados SQLite, o que vem a facilitar a extração de mensagens uma vez que elas são guardadas em plain-text.

Suchy said that  “Telegram uses a somewhat difficult to read, but otherwise, not encrypted, SQLite Database to store messages. By analyzing raw data converted to a simpler viewing format, I also found names and phone numbers that could be correlated to one another. Even so, the information is not easy to read, but custom scripts could help make the details stand out in a more intelligible way and automate the extraction.”

 

O investigador disse também que os resources de media seguem o mesmo caminho e não são protegidos localmente.

Telegram Desktop features highlights passport protection to counteract unapproved access to the application, yet this security choice does not include encryption. A technically knowledgeable and excessively inquisitive computer user could still be able to access some other users’ chats.

 

Se por algum motivo um criminoso aceder localmente ao device onde o Telegram está instalado, poderá aceder a todas as conversas secretas da vítima.

Garantir as informações guardadas localmente é concebível, capacitando a criptografia completa de disco do sistema operativo. Isso é possível no Windows por meio do BitLocker, no macOS por meio do FileVault; e o recurso também está disponível no Linux.