Το Telegram διόρθωσε ένα σοβαρό πρόβλημα απορρήτου με αυτοκαταστροφικά μέσα

Ο Dhiraj Mishra, ένας ερευνητής ασφάλειας, μοιράστηκε μαζί του Υπολογιστής Bleeping ενδιαφέροντα ευρήματα δύο σφαλμάτων ασφαλείας στην πλέον διορθωμένη εφαρμογή Messenger Telegram για macOS. Αυτά τα ζητήματα έκαναν την εφαρμογή να μην καταργήσει σωστά τα αυτοκαταστροφικά μέσα στις μυστικές συνομιλίες και να αποθηκεύσει τον τοπικό κωδικό πρόσβασης σε απλό κείμενο.

Το πρώτο ζήτημα σχετίζεται με τον μηχανισμό αυτοκαταστροφής πολυμέσων στις μυστικές συνομιλίες (αυτές είναι ασφαλείς με συνομιλίες κρυπτογράφησης από άκρο σε άκρο που δεν συγχρονίζονται μεταξύ συσκευών). Η κύρια ιδέα αυτής της δυνατότητας είναι να στείλει "ασφαλώς" ένα αρχείο που θα εξαφανιστεί αυτόματα και εντελώς χωρίς κανένα ίχνος από τη συσκευή του παραλήπτη μετά από ένα καθορισμένο χρονικό διάστημα.

Όπως αποδεικνύεται, το Telegram διέρρευε μια διαδρομή προς την αποθήκευση sandbox, όπου κρατά λαμβανόμενα πολυμέσα τόσο από τακτικές όσο και από μυστικές συνομιλίες. Ήταν σχετικά εύκολο να εξαγάγετε αυτήν τη διαδρομή και να λάβετε τα αντίγραφα των μέσων, ακόμη και αφού η εφαρμογή διέγραψε όλα τα ληφθέντα αυτοκαταστροφικά αρχεία. Μπορείτε να παρακολουθήσετε τον Dhiraj Mishra να δείχνει αυτό το σφάλμα στο παρακάτω βίντεο.

Ένας ερευνητής διαπίστωσε επίσης ότι το Telegram για macOS είχε αποθηκεύσει έναν τοπικό κωδικό πρόσβασης σε απλό κείμενο ως αρχείο JSON. Και πάλι, μπορείτε να δείτε αυτό το σφάλμα σε δράση στο βίντεο από το Dhiraj.

Ο Dhiraj ειδοποίησε την Telegram για τα ευρήματά του στις 26 Δεκεμβρίου 2020 και οι προγραμματιστές τα διόρθωσαν γρήγορα στο Telegram 7.4. Επίσης, απένειμαν στον ερευνητή χρηματικό έπαθλο 3.000 δολαρίων.

Το 2021, το Telegram αντιμετωπίζει μεγάλη μετανάστευση χρηστών από το WhatsApp, αφού το τελευταίο βρέθηκε σε άλλο ένα σκάνδαλο προστασίας προσωπικών δεδομένων. Έχοντας περισσότερα μάτια στο Telegram και τις πολιτικές προστασίας του απορρήτου του, δεν προκαλεί έκπληξη το γεγονός ότι οι ερευνητές βρίσκουν άγνωστα σφάλματα και ζητήματα. Το καλό είναι ότι οι προγραμματιστές ανταποκρίνονται γρήγορα και διορθώνουν αυτά τα σφάλματα. Ωστόσο, αυτή η ιστορία δείχνει ότι ακόμη και οι καλύτερες υπηρεσίες δεν είναι απρόσβλητες από σφάλματα και λάθη.