A Telegram súlyos adatvédelmi problémát javított ki az önpusztító médiával

Dhiraj Mishra, egy biztonsági kutató megosztotta vele Csipogó számítógép érdekes megállapítások két biztonsági hibáról a most javított Telegram messenger alkalmazásban a macOS-hez. Ezek a problémák miatt az alkalmazás nem tudta megfelelően eltávolítani az önmegsemmisítő médiát a titkos csevegésekben, és nem tárolta a helyi jelszót egyszerű szövegben.

Az első probléma az önmegsemmisítő média mechanizmusával kapcsolatos a titkos csevegésekben (ezeket a végpontok közötti titkosítási csevegés biztosítja, amely nem szinkronizál az eszközök között). Ennek a funkciónak az a fő ötlete, hogy "biztonságosan" küldjön egy fájlt, amely egy meghatározott idő elteltével automatikusan és teljesen nyom nélkül eltűnik a címzett eszközéről.

Mint kiderült, a Telegram kiszivárgott egy utat a sandbox tárolóhoz, ahol tárolja a fogadott médiát mind a szokásos, mind a titkos csevegésekből. Viszonylag könnyű volt kibontani ezt az útvonalat és megszerezni a média másolatait még azután is, hogy az alkalmazás törölte az összes kapott önmegsemmisítő fájlt. Az alábbi videóban megtekintheti Dhiraj Mishra-t, amint ezt a hibát demonstrálja.

Egy kutató azt is megállapította, hogy a Telegram for macOS JSON-fájlként egyszerű szövegben tárolt helyi jelszót. Ismét láthatja ezt a hibát működés közben a Dhiraj videójában.

Dhiraj 2020. december 26-án értesítette a Telegramot megállapításairól, és a fejlesztők gyorsan kijavították azokat a Telegram 7.4-ben. Emellett 3000 dollár jutalomban részesítették a kutatót.

2021-ben a Telegram jelentős felhasználói migrációt tapasztal a WhatsApp-ról, miután az utóbbi újabb adatvédelmi botrányba került. A Telegramra és annak adatvédelmi irányelveire tekintettel nem meglepő, hogy a kutatók korábban ismeretlen hibákat és problémákat találnak. A jó dolog az, hogy a fejlesztők gyorsan reagálnak és kijavítják ezeket a hibákat. Ennek ellenére ez a történet azt mutatja, hogy még a legjobb szolgáltatások sem mentesek a hibáktól és hibáktól.