Telegram har rettet et alvorligt privatlivsproblem med selvdestruerende medier

Dhiraj Mishra, en sikkerhedsforsker, har delt med Blødende computer interessante resultater af to sikkerhedsfejl i den nu rettede Telegram messenger-app til macOS. Disse problemer fik appen til ikke at fjerne selvdestruktionsmedier korrekt i hemmelige chats og til at gemme lokal adgangskode i almindelig tekst.

Det første problem vedrører mekanismen for selvdestruktion af medier i hemmelige chats (disse er sikret med end-to-end krypteringschat, der ikke synkroniseres mellem enheder). Denne funktions hovedidé er at "sikkert" sende en fil, der automatisk og fuldstændigt forsvinder uden spor fra en modtagers enhed efter et bestemt tidsrum.

Som det viser sig, havde Telegram lækket en vej til sandkasseopbevaring, hvor det opbevarer modtagne medier fra både almindelige og hemmelige chats. Det var relativt nemt at udpakke denne sti og få mediernes kopier, selv efter at appen slettede alle de modtagne selvdestruerende filer. Du kan se Dhiraj Mishra demonstrere denne fejl i videoen nedenfor.

En forsker fandt også ud af, at Telegram til macOS havde gemt en lokal adgangskode i almindelig tekst som en JSON-fil. Igen kan du se denne fejl i aktion i videoen fra Dhiraj.

Dhiraj underrettede Telegram om sine resultater den 26. december 2020, og udviklerne rettede dem hurtigt i Telegram 7.4. De tildelte også forskeren en dusør på $3.000.

I 2021 oplever Telegram stor brugermigrering fra WhatsApp, efter at sidstnævnte befandt sig i endnu en privatlivsskandale. Med flere øjne på Telegram og dets privatlivsbeskyttelsespolitikker er det ikke overraskende, at forskere finder hidtil ukendte fejl og problemer. Det gode er, at udviklere hurtigt reagerer og retter disse fejl. Alligevel viser denne historie, at selv de bedste tjenester ikke er immune over for fejl og fejl.