Telegram解决了一个安全问题，即自销毁的音频和视频文件未按预期从用户的macOS设备中删除。

Telegram提供了一种“秘密聊天”模式，该模式提供了比标准聊天更多的隐私。安全研究员Dhiraj Mishra告诉BleepingComputer，他在Telegram 7.3的Secret Chat功能中发现了一个漏洞，该漏洞不会从收件人的设备中删除自毁媒体。

在macOS上执行电报安全性审核时，Mishra发现标准聊天会泄漏存储接收到的视频和音频文件的沙箱路径。

电报泄漏了存储媒体的路径

尽管此路径不会在“秘密聊天”中泄漏，但接收到的媒体仍将存储在同一文件夹中。

“在我的情况下，路径为（/ var / folders / x7 / khjtxvbn0lzgjyy9xzc18z100000gn / T /）。在秘密聊天选项下执行相同任务时，MediaResourceData（path：//）URI并未泄漏，但记录的音频/视频消息仍然存在将存储在上述路径中。” Mishra在有关该漏洞的报告中解释道。

Dishra发现，当媒体自毁并从聊天中删除时，实际的媒体文件仍然可以在计算机的文件夹中访问。

“ Bob（使用tdesktop macOS的攻击者）和Alice（受害者）正在秘密聊天选项下进行通信，并且Alice使用20秒的自毁计时器将录制的音频/视频消息发送给Bob。”

“无论如何，记录的消息在20秒后会从聊天中删除，但仍保留在Bob的自定义路径下，在此Telegram无法阻止Alice的隐私。通常，自毁功能和不留痕迹都会失败，” Mishra解释说。与BleepingComputer共享的攻击情形。

对于可能正在将非常敏感的视频发送给其他Telgram用户的用户，期望该应用在设置的时间后会自动将其删除，此错误特别重要。

为了说明此安全问题，Mishra提供了以下视频演示。

密码以纯文本格式保存

除了秘密聊天安全问题外，Mishra还发现Telegram正在存储用户的本地密码，以在设备上以纯文本格式解锁应用程序。

这些纯文本密码已作为JSON文件保存在Users / [用户名] / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram / accounts-metadata中。

Dishra在2020年12月26日报告了这两个漏洞，现在已在Telegram 7.4中修复。

对于报告这两个错误，Mishra从Telegram获得了3,000美元的安全性赏金。