טלגרם תיקנה בעיית פרטיות רצינית עם מדיה הרסנית

Dhiraj Mishra, חוקר אבטחה, שיתף מחשב מצמרר ממצאים מעניינים של שני באגי אבטחה באפליקציית המסנג'ר של Telegram המתוקנת כעת עבור macOS. בעיות אלו גרמו לאפליקציה לא להסיר כראוי מדיה להרס עצמי בצ'אטים סודיים ולאחסן קוד סיסמה מקומי בטקסט רגיל.

הנושא הראשון מתייחס למנגנון של הרס עצמי של מדיה בצ'אטים סודיים (אלה מאובטחים בצ'אטים בהצפנה מקצה לקצה שאינם מסתנכרנים בין מכשירים). הרעיון המרכזי של תכונה זו הוא לשלוח "בבטחה" קובץ שייעלם באופן אוטומטי ומוחלט ללא כל זכר מהמכשיר של הנמען לאחר זמן מוגדר.

כפי שמתברר, טלגרם הדליפה נתיב לאחסון ארגז חול, שם היא שומרת מדיה שהתקבלה מצ'אטים רגילים וסודיים כאחד. היה קל יחסית לחלץ את הנתיב הזה ולקבל את העותקים של המדיה גם לאחר שהאפליקציה מחקה את כל הקבצים שהתקבלו בהרס עצמי. אתה יכול לראות את Dhiraj Mishra מדגים את הבאג הזה בסרטון למטה.

חוקר מצא גם שטלגרם עבור macOS שמרה סיסמה מקומית בטקסט רגיל כקובץ JSON. שוב, אתה יכול לראות את הבאג הזה בפעולה בסרטון מ-Dhiraj.

Dhiraj הודיע ​​לטלגרם על ממצאיו ב-26 בדצמבר 2020, והמפתחים תיקנו אותם במהירות בטלגרם 7.4. הם גם העניקו לחוקר פרס של 3,000 דולר.

בשנת 2021, טלגרם חווה הגירה גדולה של משתמשים מוואטסאפ לאחר שהאחרונה מצאה את עצמה בשערוריית פרטיות נוספת. עם יותר עיניים על טלגרם ומדיניות הגנת הפרטיות שלה, אין זה מפתיע שחוקרים מוצאים באגים ובעיות שלא נודעו בעבר. הדבר הטוב הוא שמפתחים מגיבים במהירות ומתקנים את הבאגים הללו. ובכל זאת, הסיפור הזה מראה שגם השירותים הטובים ביותר אינם חסינים מפני באגים וטעויות.