安全研究员Kirill Firsov发现,目前较为流行的聊天应用程序Telegram发生了数据泄露。在OS X版本中, 应用会将用户复制粘贴的文本写入到/var/log/system.log文件中(该文件也被称为syslog) ,从而对私人对话或笔记的内容进行备份。

MacOS 上的Telegram会把每一条粘贴的消息记录到syslog,即使是秘密的对话也不例外。@durov到底发生了什么?

—— Kirill Firsov(@k_firsov), 2016年7月23日

Telegram和最近市场上出现的很多新软件一样，致力于创建一个安全的聊天环境,并且自称比聊天应用程序WhatsApp“更加安全”。

Macs会将系统日志保存七天,而攻击者通常需要对设备进行物理访问才能阅读这些日志。不过，在企业环境中，日志消息有时会被转发到一个专用的日志服务器上,这将会创建一个不受用户控制的复本，也让窥探者有了可乘之机。

该应用的创始人Pavel Durov通过Twitter给予了回应,他说访问syslog文件是很难的，并且，想要读取复制粘贴的文本还有更容易的方法——“任何应用程序都可以读取你的剪贴板内容。”

@k_firsov…应用商店内的app不能访问syslog，但是任何应用程序都可以读取你的剪贴板。

——Pavel Durov (@durov) ，2016年7月24日,

他还指出,应用的漏洞被披露后，很快就得到了修补,所以现在Telegram的用户不必再担心数据泄漏了。

之前，由于较为关注安全和隐私，Telegram的使用率一直在上升，它也受到了注重隐私安全的用户和罪犯的青睐。

这个漏洞原本可能会对应用的声誉造成很大的影响，但是由于问题已经被迅速解决,影响范围会被缩小。

Facebook可能会为自己的聊天软件添加端到端加密,因此Telegram等服务需要更加谨慎，以免在竞争中处于不利地位。

文章原文链接:https://www.anquanke.com/post/id/84322