Telegram per macOS non protegge i messaggi e i file salvati in locale

Telegram è una delle applicazioni di messaggistica istantanea più rinomate per quanto concerne le funzionalità di protezione dei dati degli utenti. L’ideatore di Pavel Durov e i vertici di Telegram hanno da sempre rigettato le richieste pervenute dalle autorità e volte a mettere le mani sulle chiavi per la decodifica dei messaggi scambiati attraverso l’app (La Russia blocca Telegram ma manda in crisi decine di servizi di terze parti).
Telegram utilizza infatti la crittografia end-to-end (quindi le chiavi generate e conservate in locale sui dispositivi dei singoli utenti) solamente per le cosiddette “chat segrete”.
Esperti crittografi hanno a suo tempo contestato la decisione di Telegram di usare un proprio protocollo di cifratura per la protezione dei messaggi scambiati tra client e server (e viceversa). Ad ogni modo, Durov ha più volte confermato che la sua azienda non rivelerà mai neppure le chiavi crittografiche usate per la gestione dei messaggi non inviati attraverso “chat segrete” (vedere Telegram costretto a consegnare le chiavi di cifratura: più soggetto a controlli).

Esattamente come fa Signal Desktop (L’app Signal Desktop mostra la chiave di cifratura in chiaro e permette di accedere al database dei messaggi), però, anche Telegram per macOS memorizza in locale tutti i messaggi inviati e ricevuti dall’utente senza applicare alcuna forma di cifratura.

Lo ha accertato il ricercatore Nathaniel Suchy che è riuscito a individuare il database SQL locale contenente i messaggi: aprendolo, nonostante la struttura di difficile comprensione, non è affatto impossibile recuperare il contenuto dei messaggi scambiati attraverso il network Telegram.
Per quanto riguarda i file multimediali, essi vengono semplicemente “offuscati”: basta modificarne l’estensione per visualizzare l’immagine corrispondente.

Ciò che è ancora più grave è che a nulla vale l’impostazione di una password per l’accesso a Telegram per macOS: l’abilitazione di questa misura di sicurezza aggiuntiva non porta all’attivazione di alcun accorgimento crittografico.
La versione che presenta il problema rilevato da Suchy è quella scaricabile a questo indirizzo. Non esistono vulnerabilità note per quanto riguarda Telegram Desktop per Windows e Linux.