O Telegram corrigiu um sério problema de privacidade com mídia autodestrutiva
Dhiraj Mishra, um pesquisador de segurança, compartilhou com Biping Computer descobertas interessantes de dois bugs de segurança no agora corrigido aplicativo de mensageiro do Telegram para macOS. Esses problemas faziam com que o aplicativo deixasse de remover adequadamente a mídia de autodestruição em bate-papos secretos e de armazenar a senha local em texto simples.
O primeiro problema está relacionado ao mecanismo de autodestruição da mídia em bate-papos secretos (eles são protegidos por bate-papos criptografados de ponta a ponta que não são sincronizados entre os dispositivos). A ideia principal desse recurso é enviar "com segurança" um arquivo que desaparecerá automática e completamente sem deixar vestígios do dispositivo do destinatário após um tempo especificado.
Acontece que o Telegram estava vazando um caminho para o armazenamento sandbox, onde mantém a mídia recebida de chats regulares e secretos. Foi relativamente fácil extrair esse caminho e obter as cópias da mídia mesmo depois que o aplicativo excluiu todos os arquivos autodestrutivos recebidos. Você pode assistir Dhiraj Mishra demonstrando esse bug no vídeo abaixo.
Um pesquisador também descobriu que o Telegram para macOS estava armazenando uma senha local em texto simples como um arquivo JSON. Novamente, você pode ver esse bug em ação no vídeo de Dhiraj.
Dhiraj notificou o Telegram sobre suas descobertas em 26 de dezembro de 2020, e os desenvolvedores as corrigiram rapidamente no Telegram 7.4. Eles também concederam ao pesquisador uma recompensa de US $ 3.000.
Em 2021, o Telegram experimenta uma grande migração de usuários do WhatsApp depois que este último se envolveu em outro escândalo de privacidade. Com mais olhos no Telegram e suas políticas de proteção de privacidade, não é surpreendente que os pesquisadores encontrem bugs e problemas até então desconhecidos. O bom é que os desenvolvedores respondem rapidamente e corrigem esses bugs. Ainda assim, essa história mostra que mesmo os melhores serviços não estão imunes a bugs e erros.