Telegram vyřešil vážný problém se soukromím sebezničujících médií

Dhiraj Mishra, bezpečnostní výzkumník, sdílel s Pípavý počítač zajímavá zjištění dvou bezpečnostních chyb v nyní opravené aplikaci Telegram messenger pro macOS. Tyto problémy způsobily, že aplikace nedokázala správně odstranit autodestrukční média v tajných chatech a ukládat místní přístupový kód ve formátu prostého textu.

První problém se týká mechanismu sebezničení médií v tajných chatech (tyto jsou zabezpečeny chaty s end-to-end šifrováním, které se mezi zařízeními nesynchronizují). Hlavní myšlenkou této funkce je „bezpečně“ odeslat soubor, který po určité době automaticky a zcela zmizí ze zařízení příjemce bez jakékoli stopy.

Jak se ukázalo, Telegram pronikal do sandboxového úložiště, kde uchovává přijatá média z běžných i tajných chatů. Bylo relativně snadné extrahovat tuto cestu a získat kopie média i poté, co aplikace smazala všechny přijaté samodestrukční soubory. Ve videu níže můžete sledovat, jak Dhiraj Mishra demonstruje tuto chybu.

Výzkumník také zjistil, že Telegram pro macOS ukládal místní heslo v prostém textu jako soubor JSON. Opět můžete vidět tuto chybu v akci ve videu od Dhiraje.

Dhiraj o svých zjištěních informoval Telegram 26. prosince 2020 a vývojáři je rychle opravili v Telegramu 7.4. Také udělili výzkumníkovi odměnu 3 000 $.

V roce 2021 zažívá Telegram velkou migraci uživatelů z WhatsApp poté, co se tato aplikace ocitla v dalším skandálu v oblasti ochrany osobních údajů. S větším pohledem na Telegram a jeho zásady ochrany soukromí není divu, že výzkumníci najdou dříve neznámé chyby a problémy. Dobrá věc je, že vývojáři rychle reagují a opravují tyto chyby. Přesto tento příběh ukazuje, že ani ty nejlepší služby nejsou imunní vůči chybám a chybám.