Telegram heeft een ernstig privacyprobleem opgelost met zelfvernietigende media

Dhiraj Mishra, een beveiligingsonderzoeker, heeft gedeeld met piepende computer interessante bevindingen van twee beveiligingsbugs in de nu gerepareerde Telegram-messenger-app voor macOS. Door deze problemen slaagde de app er niet in om zelfvernietigingsmedia in geheime chats correct te verwijderen en om de lokale toegangscode in platte tekst op te slaan.

Het eerste probleem heeft betrekking op het mechanisme van zelfvernietigende media in geheime chats (deze zijn beveiligd met end-to-end encryptiechats die niet synchroniseren tussen apparaten). Het belangrijkste idee van deze functie is om "veilig" een bestand te verzenden dat na een bepaalde tijd automatisch en volledig zonder enig spoor van het apparaat van een ontvanger zal verdwijnen.

Het bleek dat Telegram een ​​pad had gelekt naar sandbox-opslag waar het ontvangen media van zowel reguliere als geheime chats bewaart. Het was relatief eenvoudig om dit pad te extraheren en de kopieën van de media te krijgen, zelfs nadat de app alle ontvangen zelfvernietigende bestanden had verwijderd. Je kunt Dhiraj Mishra zien die deze bug demonstreert in de onderstaande video.

Een onderzoeker ontdekte ook dat Telegram voor macOS een lokaal wachtwoord in platte tekst had opgeslagen als een JSON-bestand. Nogmaals, je kunt deze bug in actie zien in de video van Dhiraj.

Dhiraj bracht Telegram op 26 december 2020 op de hoogte van zijn bevindingen en de ontwikkelaars hebben ze snel hersteld in Telegram 7.4. Ze kenden de onderzoeker ook een premie van $ 3.000 toe.

In 2021 ervaart Telegram een ​​grote gebruikersmigratie van WhatsApp nadat de laatste in een ander privacyschandaal terecht was gekomen. Met meer ogen op Telegram en zijn privacybeschermingsbeleid, is het niet verwonderlijk dat onderzoekers voorheen onbekende bugs en problemen vinden. Het goede is dat ontwikkelaars snel reageren en deze bugs oplossen. Toch laat dit verhaal zien dat zelfs de beste services niet immuun zijn voor bugs en fouten.