最近这两天，号称“最安全”的通讯应用Telegram接连爆出漏洞，又是剪贴板信息泄露，又是1500万伊朗用户手机号曝光，究竟这两个漏洞有多危险呢？

漏洞1：粘贴信息泄露

研究员Kirill Firsov发现了这个漏洞：在OS X版本的Telegram中，复制粘贴到Telegram上的文本会被记录到/var/log/system.log(syslog)中。这样某些私密的聊天记录就被保存了下来。

Mac系统一般会保存7天的日志，不过攻击者得要有物理接触才能访问到日志。不过在企业环境系统下，日志信息会发送到专门的日志服务器，这样就可能会带来更大的安全隐患。

对此，Telegram创始人Pavel Durov解释称，读取日志的难度很大，而且实际上相比普通的剪切板复制粘贴安全得多，因为任何应用都可以读取你的剪切板。

不过Pavel Durov说，Telegram还是在漏洞公开后马上修复了，所以现在用户们用的软件应该都没什么问题了。

漏洞2：1500万伊朗用户手机号泄露

就在粘贴信息泄露爆出的第二天，又有伊朗黑客声称，他们攻陷了数十个Telegram账号，然后泄露了1500万伊朗用户手机号。

Telegram在全球有一亿用户，而在伊朗的Telegram用户大约有2000万，这主要是因为Telegram提供了端对端的加密，能够保障用户密钥只有用户拥有，即便是Telegram公司也无法访问到消息数据。而在伊朗这样的国家，大量的异见人士、新闻记者、甚至普通群众对通讯安全十分重视，因此它吸引了大量用户。

1500万用户手机号泄露，看起来已经把75%的伊朗用户手机号泄露完了，那这个漏洞严不严重呢？

Telegram的博客对此作出了解释：

有人检查了那些手机号码有没有在Telegram进行注册，然后确认了这1500万个手机号。结果黑客只是获得了那些公开数据，并没有进入过那些账号。

Telegram还说，黑客使用API对手机有没有注册Telegram进行了测试，而公司今年会引入一种对API查询的限制，可以阻止这种大量检测。

“不过，Telegram是基于手机通讯录的，任何人还是能够查到某个手机号有没有注册账号”，Telegram补充说，”各大基于通讯录的聊天软件也都是这样做的（WhatsApp, Messenger等）。”

黑客在报告中所提的另一点是：登录过程中的验证短信可能被他人获取，他们就是使用SS7获取验证短信从而登录了那几十个账号。由于伊朗的手机通讯供应商都掌握在政府手中，黑客担心伊朗政府可能会利用这一点，截取异见人士的验证短信，进而登录他们的账号。

Telegram在博客中表示，截获验证短信其实已经很难说是新威胁了，公司一直在警告某些国家的用户小心短信被截取。建议用户们开启两部验证来防范这种攻击。

事实上发送验证短信是各大通信软件的通行做法，这在一般人看来好像没什么问题，但伊朗用户对于安全的重视程度要比一般人高得多，因此，对于他们来说，这样的安全措施还是不够的。