„Telegram“ išsprendė rimtą privatumo problemą, susijusią su save naikinančia žiniasklaida

Dhiraj Mishra, saugumo tyrinėtojas, pasidalino su Blyksnis kompiuteris įdomūs dviejų saugos klaidų atradimai dabar pataisytoje „Telegram Messenger“ programoje, skirtoje „MacOS“. Dėl šių problemų programa nepavyko tinkamai pašalinti savaiminio sunaikinimo laikmenos slaptuose pokalbiuose ir išsaugoti vietinį kodą paprastu tekstu.

Pirmoji problema yra susijusi su savaiminio naikinimo laikmenos slaptuose pokalbiuose mechanizmu (jie yra apsaugoti nuo galo iki galo šifravimo pokalbiais, kurie nėra sinchronizuojami tarp įrenginių). Pagrindinė šios funkcijos idėja yra „saugiai“ išsiųsti failą, kuris po nurodyto laiko automatiškai ir visiškai išnyks iš gavėjo įrenginio be jokių pėdsakų.

Kaip paaiškėjo, „Telegram“ nutekino kelią į smėlio dėžės saugyklą, kur saugo gautą laikmeną tiek iš įprastų, tiek iš slaptų pokalbių. Išskleisti šį kelią ir gauti medijos kopijas buvo gana lengva net ir programai ištrynus visus gautus savaime sunaikinančius failus. Žemiau esančiame vaizdo įraše galite žiūrėti, kaip Dhiraj Mishra demonstruoja šią klaidą.

Tyrėjas taip pat nustatė, kad „MacOS“ skirta „Telegram“ vietinį slaptažodį išsaugodavo paprastu tekstu kaip JSON failą. Vėlgi, šią klaidą galite pamatyti Dhiraj vaizdo įraše.

Dhiraj pranešė „Telegram“ apie savo atradimus 2020 m. gruodžio 26 d., o kūrėjai greitai juos pataisė „Telegram 7.4“. Jie taip pat apdovanojo tyrėją 3000 USD premija.

2021 m. „Telegram“ patiria didelį vartotojų migraciją iš „WhatsApp“, kai pastaroji atsidūrė kitame privatumo skandale. Labiau žiūrint į „Telegram“ ir jos privatumo apsaugos politiką, nenuostabu, kad mokslininkai randa anksčiau nežinomų klaidų ir problemų. Gerai tai, kad kūrėjai greitai reaguoja ir ištaiso šias klaidas. Visgi ši istorija rodo, kad net ir geriausios paslaugos nėra apsaugotos nuo klaidų ir klaidų.