После удаления Telegram входит в учетную запись без верификации даже после смены пароля

После удаления Telegram входит в учетную запись без верификации даже после смены пароля — IT-МИР. ПОМОЩЬ В IT-МИРЕ 2020

После удаления приложения Telegram с Вашего macOS-устройства стандартным путем (переносом из папки Applications в корзину) — в нем остаются файлы.

Скриншот файлов

После удаления Telegram входит в учетную запись без верификации даже после смены пароля — IT-МИР. ПОМОЩЬ В IT-МИРЕ 2020

Это какая-то часть переписки, информация об аккаунте и т.д. Вещи на первый взгляд не страшные — все, что есть, похоже, зашифровано. Честно говоря, я сильно не изучал [UPD: была статья о том, что данные хранятся в незашифрованном виде].

Но меня удивило другое.

После того, как я снова скачал Telegram из App Store — при открытии приложения я моментально попал в свой аккаунт. Там уже отображалась часть переписки, а также изображения собеседников, сохраненные ранее до удаления. Пока клиент все еще не подгрузил новые данные, пытаясь перехитрить Roskomnadzor, я ожидал получить окно верификации или хоть что-нибудь. Но вместо этого он просто перешел в нормальную работу.

Я подумал, что я не очень умный, а ребята из Telegram магическим образом связали mac-адрес моего устройства или же аккаунт из App Store со своими логами, поняли, что это настоящий я и пустили без какой-либо верификации. Даже без сообщения в мобильное приложение о код-пароле.

Хорошо, тогда я нарушу Ваш умный алгоритм. Теперь после удаления Telegram я изменю свой двухфакторный пароль (тот, который запрашивается после введения высланного телеграмом код-пароля). Очевидно, что я попаду в страшный кейс, когда от последнего входа появилось важное событие в аккаунте и нужно убедиться, что Пользователь верный и спросить у него код-пароль и двухфакторный новый пароль.

Но на мое удивление — никто меня ничего не спросил и после повторной установки просто пустил в аккаунт!

Видимо, ребята из Telegram имеют какие-то более изощренные алгоритмы и включают тайминг. Я пришел в офис и скачал Telegram из App Store, который был удален минимум месяц назад. И меня спокойно пустили в мой аккаунт.

То есть любой, кто имел доступ к компьютеру, с которого я разок заходил в телеграм и удалил его, мог скачать Telegram для своих нужд и попасть в мой аккаунт. Но самое страшное — узнать, что у меня неинтересная жизнь.

Я прошу тех, кого эта возможная проблема волнует, проверить данное поведение на своих macOs девайсах, а также на других платформах. Если у Вас воспроизведется — сообщите в Telegram, потому что я совершенно не разобрался куда писать.

Важное UPD:

Ни в коем случае не претендуя на абсолютную компетенцию своих знаний (коих вообще нет) — я пожелал поднять данный вопрос, чтобы можно было дополнительно разобраться о возможных совершенно неочевидных вещах.

Лично меня сбило то, что после смены пароля сессия на других устройствах продолжает жить. Кажется, когда-то была здоровая практика, что после смены пароля на девайсе, с которого происходило его изменение, сессия продолжалась. А на других устройствах сессия становилась недействительной и нужно было ввести новый пароль. Пароль у Телеграма с включенной двухфакторной аутентификации (то, о чем говорится в статье) — это не пароль от аккаунта, а… да кто его знает что это. Важно то, что его смена не влияет на сессии на других девайсах. Поэтому после смены пароля необходимо вручную закрывать сессии других устройств.

Теперь о том самом удалении Телеграма:

Не смотря на встроенную интуитивную простоту установки и удаления приложений На macOs (засунул файл с расширением .app в приложение — установилось, перенесли этот файл в корзину — удалилось), нужно иметь в виду, что это не равносильно установке и удалении программ на Windows через инсталляторы и деинсталляторы. Как писали в комментариях — после удаления Телеграма через панель управления никаких входов без верификации при его повторной установке не было. Полноценный повтор кейса описанного в статье со Skype на macOs показал аналогичный результат.

Соответственно, нужно сделать следующие выводы:

  1. Если Вы установили на чужом устройстве мессенджер для разового использования — перед его удалением обязательно сперва разлогиньтесь (касается и мобильных приложений)
  2. Удаление приложения не означает, что где-то в системе не останутся какие-либо файлы в незашифрованном виде
  3. Какие-то очевидные именно для Вас вещи не обязательно очевидны для всего остального мира, поэтому нужно дружить с реальностью

Специально для сайта ITWORLD.UZ. Новость взята с сайта Хабр