Telegramは、自己破壊型メディアの重大なプライバシー問題を修正しました

セキュリティ研究者のDhirajMishraは、 Bleeping Computer macOS用に修正されたTelegramメッセンジャーアプリの2つのセキュリティバグの興味深い発見。 これらの問題により、アプリはシークレットチャットで自己破壊メディアを適切に削除できず、ローカルパスコードをプレーンテキストで保存できませんでした。

最初の問題は、シークレットチャットでの自己破壊メディアのメカニズムに関連しています（これらは、デバイス間で同期されないエンドツーエンドの暗号化チャットで保護されています）。 この機能の主なアイデアは、指定された時間後に受信者のデバイスからのトレースなしで自動的かつ完全に消えるファイルを「安全に」送信することです。

結局のところ、Telegramは、通常のチャットと秘密のチャットの両方から受信したメディアを保持するサンドボックスストレージへのパスをリークしていました。 アプリが受信したすべての自己破壊ファイルを削除した後でも、このパスを抽出してメディアのコピーを取得するのは比較的簡単でした。 下のビデオで、このバグを示すDhirajMishraを見ることができます。

研究者はまた、Telegram formacOSがローカルパスワードをプレーンテキストでJSONファイルとして保存していたことを発見しました。 繰り返しになりますが、Dhirajのビデオでこのバグの動作を確認できます。

Dhirajは2020年12月26日にTelegramに調査結果を通知し、開発者はTelegram7.4でそれらをすばやく修正しました。 彼らはまた、研究者に3,000ドルの報奨金を授与しました。

2021年、Telegramは、WhatsAppが別のプライバシースキャンダルに巻き込まれた後、WhatsAppからの大規模なユーザー移行を経験しました。 Telegramとそのプライバシー保護ポリシーに注目することで、研究者がこれまで知られていなかったバグや問題を発見するのは当然のことです。 良い点は、開発者がこれらのバグに迅速に対応して修正することです。 それでも、この話は、最高のサービスでさえバグや間違いの影響を受けないことを示しています。