Telegram ir novērsusi nopietnu privātuma problēmu ar pašiznīcinošiem medijiem

Dhiraj Mishra, drošības pētnieks, ir dalījies ar Pīkstošs dators interesanti atklājumi par divām drošības kļūdām tagad izlabotajā Telegram Messenger lietotnē operētājsistēmai MacOS. Šo problēmu dēļ lietotne nespēja pareizi noņemt pašiznīcināšanās multividi slepenajās tērzētavās un saglabāt vietējo piekļuves kodu vienkāršā tekstā.

Pirmā problēma ir saistīta ar pašiznīcinošu multivides mehānismu slepenajās tērzēšanas sarunās (tās ir nodrošinātas ar tiešu šifrēšanas tērzēšanu, kas netiek sinhronizēta starp ierīcēm). Šīs funkcijas galvenā ideja ir "droši" nosūtīt failu, kas pēc noteikta laika automātiski un pilnībā pazudīs no adresāta ierīces bez pēdām.

Kā izrādās, Telegram bija nopludinājusi ceļu uz smilškastes krātuvi, kur tā glabā saņemtos multividi gan no parastajām, gan slepenajām tērzēšanas sarunām. Bija salīdzinoši viegli iegūt šo ceļu un iegūt multivides kopijas pat pēc tam, kad lietotne izdzēsa visus saņemtos pašiznīcinošos failus. Tālāk esošajā videoklipā varat noskatīties, kā Dhiraj Mishra demonstrē šo kļūdu.

Pētnieks arī atklāja, ka Telegram for macOS ir saglabājusi vietējo paroli vienkāršā tekstā kā JSON failu. Atkal, jūs varat redzēt šo kļūdu darbībā Dhiraj videoklipā.

Dhirajs paziņoja Telegram par saviem atklājumiem 2020. gada 26. decembrī, un izstrādātāji tos ātri salaboja Telegram 7.4. Viņi arī piešķīra pētniekam 3000 USD prēmiju.

2021. gadā Telegram piedzīvo lielu lietotāju migrāciju no WhatsApp pēc tam, kad pēdējā nonāca citā privātuma skandālā. Vairāk uzmanības pievēršot Telegram un tās privātuma aizsardzības politikām, nav pārsteidzoši, ka pētnieki atrod iepriekš nezināmas kļūdas un problēmas. Labā lieta ir tā, ka izstrādātāji ātri reaģē un novērš šīs kļūdas. Tomēr šis stāsts parāda, ka pat labākie pakalpojumi nav imūni pret kļūdām un kļūdām.