Эксперты по безопасности фирмы Talos сообщили, что им удалось выявить сразу две вредоносные программы, способные взломать Telegram. Первая воровала реквизиты доступа и файлы cookie из браузера, вторая копирует кэш Telegram, содержащий данные переписки, файлы ключей шифрования, а также реквизиты доступа к Steam. Все эти данные вредоносная программа в незашифрованном виде загружает на несколько аккаунтов сервиса pcloud.com, передает Cnews.

Автор вредоносной программы русскоговорящий и скрывается под никнеймами Enot, Eyenot, Racoon Hacker, Racoon Progoromist; с ним проассоциирован аккаунт на GitHub.com (Enot272). Хакер опубликовал на разных ресурсах целый ряд статей и видеоучебников о том, как взламывать Telegram.

По информации Talos, злоумышленник выбирал и в качестве мишени именно десктоп-версию Telegram потому, что она не поддерживает функцию Secret Chats (секретные чаты) и имеет довольно слабые настройки по умолчанию. При этом вредонос не атакует никаких уязвимостей, эксплуатируются лишь архитектурные особенности. 

Согласно пояснениям разработчиков Telegram, секретные чаты требуют наличия постоянного хранилища данных на устройстве; на данный момент эта функция не поддерживается на десктопной и веб-версии. На них содержание чатов подтягивается из облака и сбрасывается при отключении клиента. Секретные чаты не хранятся в облаке, поэтому они бы исчезали с каждым отключением компьютера. При этом автоматического разлогинивания в десктоп-версии Telegram не реализовано. Чем и воспользовался хакер.

Исследователям удалось найти видеоруководство, описывающее, как получить доступ и использовать кэш Telegram для перехвата сессий. Для этого нужно «восстановить» кэш и map-файлы, в которых хранятся ключи шифрования, в существующую установку Telegram на десктопе в то время как открыта сессия. В конечном итоге злоумышленник может получить доступ к текущей сессии пользователя, его контактам и прошлым чатам.

Исследователям Talos не удавалось до сих пор обнаружить инструментов для расшифровки информации из кэша, но они не исключают, что такой инструмент может или уже мог быть создан. А учитывая, что единственное, чем защищены файлы Map, это пароль пользователя, вполне применим взлом путем перебора.