#Android #安全性 #Security #加密 #Encryption #Telegram #SecretChat #SelfDestruct #Cache #請做足安全措施
TL;DR
Android嘅Telegram Local Database係冇加密到架!!!
(官方版本, 並唔係指Telegram X)
有3張圖比大家參考下
https://t.me/Project_Trashgram/24https://t.me/Project_Trashgram/25首先,呢樣好重要,要講三次
請盡快幫部電話加密
請盡快幫部電話加密
請盡快幫部電話加密
一般人未必知道Telegram Android嘅讀取訊息部份運作係點
為免大家睇唔明,我地係到簡單講下先
Telegram為咗減輕伺服器(俗稱:薯仔Ser)負荷,所以依賴Local Cache呢樣野
當你入某一個對話,Telegram會先讀取Local Cache搵下有冇訊息紀錄先
而呢個local cache係放係 /data/data/org.telegram.messenger/files/cache4.db 入面
只有Telegram呢個apps先可以讀取到呢個 cache4.db file
呢個係一個SQLite Database,裡面有46個Tables
佢可以話係基本上會儲存晒你成個Telegram account嘅資料
包括但不限於Telegram聯絡人,對話紀錄,群組資料等等
見到呢3樣野應該唔洗再列舉啦
Telegram讀完呢個database後,佢會拎返某個對話過去N條訊息出黎用
如果搵唔到嘅話,就會問Server拎返個record,然後儲存落Local Cache到,日後循環再用
眾所周知,大家都知道Telegram有一個功能叫Secret Chat
而呢個Secret Chat紀錄只會保留係雙方部機上面,一但刪除就冇方法還原
而家拎返上面提到嘅 cache4.db (local cache database)
根據我地嘅爆破小組調查,呢個database係冇做到任何加密(Encryption)
即係入面嘅內容全部都係Plaintext,只要你有Root權限就可以抽個database出嚟睇
Secret Chat紀錄只會保留係雙方部機上面
而Secret Chat紀錄都係入面,對話內容?
當然一覽無遺
問: 咁樣講嘅話,Secret Chat係咪安全?
答: 答你唔到
至少呢一刻部機係你手上仲係安全,但係去到其他人手上就唔係咁講
所以,而家請大家檢查清楚自己部電話嘅安全性設定
1. 設定>安全性>裝置加密
睇下有冇開到,如果冇嘅話,唔好諗,同我即刻開咗佢
將成部電話加密唔係晒你好多時間
正常情況下都係預設開咗嘅
2. 設定>開發者選項>USB偵錯(USB Debugging)
唔好多手開咗佢,如果有需要用到,用完就應該閂返
3. 設定>開發者選項>OEM解鎖
預設係冇開嘅,唔好手多開咗佢
針對Secret Chat未加密嘅問題,請大家盡量使用Self-Destruct Timer功能
確保雙方電話上都冇任何對話紀錄留低
仲有一樣野,請一日做一次
Telegram > Settings > Data and Storage > Storage Usage > Local Database > Touch > Clear
咁樣可以清走一D比較舊嘅對話紀錄
請放心,Telegram搵唔到cache嘅話,自然會係Server到同步返舊對話紀錄
我地出呢篇文唔係為咗製造恐慌
而係希望大家有返D安全意識
特別係你長期用緊嘅通訊工具,唔好過份依賴佢地會做足安全措施
冇一個軟件係100%安全,請好好保護自己同埋有返D危機意識
Project Trashgram
21/10/2019
