Telegram on lahendanud tõsise privaatsusprobleemi ennasthävitava meediaga

Turvauurija Dhiraj Mishra on jaganud Piiksuv arvuti huvitavad leiud kahe turbevea kohta nüüd parandatud macOS-i Telegrami messengeri rakenduses. Nende probleemide tõttu ei suutnud rakendus salajastes vestlustes enesehävitusmeediumit korralikult eemaldada ega kohalikku pääsukoodi lihttekstina salvestada.

Esimene probleem on seotud salajastes vestlustes (need on kaitstud täielike krüpteerimisvestlustega, mis ei sünkrooni seadmete vahel) ennasthävitava meedia mehhanismiga. Selle funktsiooni põhiidee on saata "turvaliselt" fail, mis teatud aja möödudes kaob adressaadi seadmest automaatselt ja täielikult ilma jälgi.

Nagu selgub, oli Telegram lekitanud teed liivakasti salvestusruumi, kus ta hoiab vastuvõetud meediumit nii tavalistest kui ka salajastest vestlustest. Selle tee eraldamine ja meediumikoopiate hankimine oli suhteliselt lihtne isegi pärast seda, kui rakendus kustutas kõik saadud isehävitavad failid. Saate vaadata, kuidas Dhiraj Mishra demonstreerib seda viga allolevast videost.

Teadlane leidis ka, et Telegram for macOS oli salvestanud kohaliku parooli lihttekstina JSON-failina. Jällegi näete seda viga Dhiraji videos.

Dhiraj teavitas Telegrami oma leidudest 26. detsembril 2020 ja arendajad parandasid need kiiresti Telegram 7.4-s. Nad andsid teadlasele ka 3000 dollari suuruse pearaha.

2021. aastal kogeb Telegram suurt kasutajate migratsiooni WhatsAppist pärast seda, kui viimane sattus järjekordsesse privaatsusskandaali. Telegrami ja selle privaatsuskaitsepoliitikat rohkem silmas pidades pole üllatav, et teadlased leiavad varem tundmatuid vigu ja probleeme. Hea on see, et arendajad reageerivad kiiresti ja parandavad need vead. Siiski näitab see lugu, et isegi parimad teenused pole vigade ja vigade eest immuunsed.