Напомню, что в режиме секретного чата нельзя пересылать сообщения другим пользователям, а также есть возможность настроить автоматическое самоуничтожение всех сообщений и мультимедиа по прошествии определенного количества времени.
Независимый ИБ-специалист Дхирадж Мишра (Dhiraj Mishra) обнаружил, что в Telegram версии 7.3 самоуничтожающиеся сообщения не удалялись с устройства получателя окончательно. Так, эксперт заметил, что на macOS стандартные чаты «сливают» путь песочницы, где хранятся все полученные видео- и аудиофайлы. И хотя этот путь не «утекает» в секретных чатах, полученные медиафайлы все равно хранятся там же, даже если в самом чате сообщения уже самоуничтожились, как и должны были.
Кроме того, Мишра обнаружил, что Telegram хранил локальные коды доступа для разблокировки приложения в формате обычного текста. Они сохранялись в папке Users/[имя пользователя]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata в виде файлов JSON.
Обе проблемы исследователь обнаружил в конце декабря 2020 года, и с релизом Telegram 7.4 они были исправлены. За сообщение об обеих ошибках Мишра получил вознаграждение в размере 3000 долларов.
