关键信息 标题: Telegram App Store Secret-Chat Messages in Plain-Text Database 作者: Jon Paterson 日期: Feb 23, 2015 主要内容: - 加密争议: 文章引用了CryptoFail博客关于Telegram加密协议的批评。 - Telegram声明: Telegram宣布了一个“Crypto contest”,承诺如果能恢复用其应用加密的电子邮件地址,可以赢得20万美元的比特币。 - 测试方法: - 测试在Android 4.4.2版本上进行。 - 通过模拟主动攻击,作者发现了秘密聊天消息未加密存储在数据库中。 - 安全漏洞: - 存储漏洞: Telegram的秘密聊天消息以明文形式存储在数据库中。 - 删除消息功能: 即使用户删除了消息,仍然可以从缓存数据库中恢复。 - 披露时间表: 1. 17/1/2015 - 漏洞发现。 2. 18/1/2015 - 向Telegram安全团队披露漏洞。 3. 23/1/2015 - 询问供应商评论 - 没有收到回应。 4. 3/2/2015 - 再次询问供应商评论 - 没有收到回应。 5. 6/2/2015 - 再次询问供应商评论 - 没有收到回应。 6. 23/2/2015 - 公开披露漏洞。 - 推荐措施: 强调设备级的主动防护重要性,建议使用其他加密软件或增强设备端的保护。 总结 该文章揭示了Telegram应用在端到端加密方面存在的严重漏洞,并且在没有收到Telegram方面回应后,进行了公开披露,要求用户提高警惕并采取相应的安全措施以保护个人隐私信息。