Telegram hat ein ernstes Datenschutzproblem mit selbstzerstörenden Medien behoben
Dhiraj Mishra, ein Sicherheitsforscher, hat mit Piepsender Computer interessante Erkenntnisse zu zwei Sicherheitsfehlern in der nun behobenen Telegram-Messenger-App für macOS. Diese Probleme führten dazu, dass die App selbstzerstörende Medien in geheimen Chats nicht ordnungsgemäß entfernte und lokale Passwörter im Klartext speicherte.
Das erste Problem bezieht sich auf den Mechanismus der selbstzerstörenden Medien in geheimen Chats (diese sind mit Ende-zu-Ende-Verschlüsselungs-Chats gesichert, die nicht zwischen Geräten synchronisiert werden). Die Hauptidee dieser Funktion besteht darin, eine Datei "sicher" zu senden, die nach einer bestimmten Zeit automatisch und vollständig spurlos vom Gerät des Empfängers verschwindet.
Wie sich herausstellte, hatte Telegram einen Pfad zum Sandbox-Speicher durchgesickert, auf dem empfangene Medien sowohl aus regulären als auch aus geheimen Chats aufbewahrt werden. Es war relativ einfach, diesen Pfad zu extrahieren und die Kopien der Medien zu erhalten, selbst nachdem die App alle empfangenen selbstzerstörenden Dateien gelöscht hatte. Sie können Dhiraj Mishra im Video unten sehen, wie er diesen Fehler demonstriert.
Ein Forscher fand auch heraus, dass Telegram für macOS ein lokales Passwort im Klartext als JSON-Datei gespeichert hatte. Auch hier können Sie diesen Fehler im Video von Dhiraj in Aktion sehen.
Dhiraj benachrichtigte Telegram am 26. Dezember 2020 über seine Ergebnisse, und die Entwickler haben sie schnell in Telegram 7.4 behoben. Sie gewährten dem Forscher auch ein Kopfgeld von 3.000 US-Dollar.
Im Jahr 2021 erlebt Telegram eine große Benutzermigration von WhatsApp, nachdem letzteres in einen weiteren Datenschutzskandal geraten war. Mit mehr Augen auf Telegram und seine Datenschutzrichtlinien ist es nicht verwunderlich, dass Forscher bisher unbekannte Fehler und Probleme finden. Das Gute ist, dass Entwickler schnell reagieren und diese Fehler beheben. Dennoch zeigt diese Geschichte, dass selbst die besten Dienste nicht vor Fehlern und Fehlern gefeit sind.
