Telegram on korjannut vakavan tietosuojaongelman itsetuhoisissa medioissa

Dhiraj Mishra, turvallisuustutkija, on jakanut Piikuva tietokone mielenkiintoisia löydöksiä kahdesta tietoturvavirheestä nyt korjatussa Telegram Messenger -sovelluksessa macOS: lle. Nämä ongelmat saivat sovelluksen epäonnistumaan kunnolla poistamaan itsetuhoavaa mediaa salaisissa keskusteluissa ja tallentamaan paikallista salasanaa pelkkänä tekstinä.

Ensimmäinen ongelma liittyy itsetuhoavan median mekanismiin salaisissa keskusteluissa (nämä on suojattu päästä päähän -salauksella, joka ei synkronoidu laitteiden välillä). Tämän ominaisuuden pääideana on lähettää "turvallisesti" tiedosto, joka katoaa automaattisesti ja kokonaan ilman jälkiä vastaanottajan laitteesta tietyn ajan kuluttua.

Kuten käy ilmi, Telegram oli vuotanut polun hiekkalaatikkotallennustilaan, jossa se säilyttää vastaanotetun median sekä tavallisista että salaisista keskusteluista. Tämä polku oli suhteellisen helppoa purkaa ja saada median kopiot senkin jälkeen, kun sovellus oli poistanut kaikki vastaanotetut itsetuhoavat tiedostot. Voit katsoa Dhiraj Mishran esittelemässä tätä vikaa alla olevasta videosta.

Tutkija havaitsi myös, että Telegram for macOS oli tallentanut paikallisen salasanan pelkkänä tekstinä JSON-tiedostona. Jälleen, voit nähdä tämän virheen toiminnassa Dhirajin videossa.

Dhiraj ilmoitti havainnoistaan ​​Telegramille 26. joulukuuta 2020, ja kehittäjät korjasivat ne nopeasti Telegram 7.4:ssä. He myös myönsivät tutkijalle 3 000 dollarin palkkion.

Vuonna 2021 Telegram kokee suurta käyttäjien siirtymistä WhatsAppista, kun viimeksi mainittu joutui uuteen tietosuojaskandaaliin. Telegramia ja sen tietosuojakäytäntöjä silmällä pitäen ei ole yllättävää, että tutkijat löytävät aiemmin tuntemattomia virheitä ja ongelmia. Hyvä asia on, että kehittäjät reagoivat nopeasti ja korjaavat nämä viat. Tämä tarina kuitenkin osoittaa, että parhaatkaan palvelut eivät ole immuuneja bugeille ja virheille.