Telegram naprawił poważny problem z prywatnością związany z samoniszczącymi się mediami

Dhiraj Mishra, badacz bezpieczeństwa, podzielił się z Syczący komputer interesujące odkrycia dwóch błędów bezpieczeństwa w naprawionej już aplikacji do komunikatora Telegram dla systemu macOS. Te problemy spowodowały, że aplikacja nie mogła prawidłowo usunąć nośników samozniszczenia w tajnych czatach i przechowywać lokalne hasło w postaci zwykłego tekstu.

Pierwsza kwestia dotyczy mechanizmu samozniszczenia mediów w tajnych czatach (są one zabezpieczone kompleksowymi czatami szyfrującymi, które nie synchronizują się między urządzeniami). Główną ideą tej funkcji jest „bezpieczne” wysłanie pliku, który po określonym czasie automatycznie i całkowicie zniknie bez śladu z urządzenia odbiorcy.

Jak się okazuje, Telegram przeciekał ścieżkę do przechowywania w piaskownicy, gdzie przechowuje otrzymane multimedia zarówno ze zwykłych, jak i tajnych czatów. Wyodrębnienie tej ścieżki i uzyskanie kopii multimediów było stosunkowo łatwe, nawet po usunięciu przez aplikację wszystkich otrzymanych samozniszczalnych plików. Możesz zobaczyć, jak Dhiraj Mishra demonstruje ten błąd w poniższym filmie.

Badacz odkrył również, że Telegram dla macOS przechowywał lokalne hasło w postaci zwykłego tekstu jako plik JSON. Ponownie, możesz zobaczyć ten błąd w akcji w filmie z Dhiraj.

Dhiraj powiadomił Telegram o swoich odkryciach 26 grudnia 2020 r., A programiści szybko naprawili je w Telegramie 7.4. Przyznali również badaczowi nagrodę w wysokości 3000 dolarów.

W 2021 r. Telegram doświadczył dużej migracji użytkowników z WhatsApp po tym, jak ten ostatni znalazł się w kolejnym skandalu dotyczącym prywatności. Mając więcej uwagi na Telegram i jego politykę ochrony prywatności, nie jest zaskakujące, że badacze znajdują wcześniej nieznane błędy i problemy. Dobrą rzeczą jest to, że programiści szybko reagują i naprawiają te błędy. Jednak ta historia pokazuje, że nawet najlepsze usługi nie są odporne na błędy i błędy.