Telegram opravil vážny problém so súkromím so sebadeštrukčnými médiami

Dhiraj Mishra, bezpečnostný výskumník, zdieľal s Pípajúci počítač zaujímavé zistenia dvoch bezpečnostných chýb v už opravenej aplikácii Telegram messenger pre macOS. Tieto problémy spôsobili, že aplikácia nedokázala správne odstrániť samodeštrukčné médiá v tajných rozhovoroch a neuložila miestny prístupový kód ako obyčajný text.

Prvý problém sa týka mechanizmu samodeštrukcie médií v tajných chatoch (tieto sú zabezpečené pomocou šifrovania typu end-to-end, ktoré sa medzi zariadeniami nesynchronizujú). Hlavnou myšlienkou tejto funkcie je „bezpečne“ odoslať súbor, ktorý po určitom čase automaticky a úplne zmizne zo zariadenia príjemcu bez akejkoľvek stopy.

Ako sa ukázalo, Telegram unikal cestu k úložisku sandbox, kde uchováva prijaté médiá z bežných aj tajných rozhovorov. Bolo relatívne ľahké extrahovať túto cestu a získať kópie média aj potom, čo aplikácia odstránila všetky prijaté samodeštrukčné súbory. Môžete sledovať, ako Dhiraj Mishra demonštruje túto chybu vo videu nižšie.

Výskumník tiež zistil, že Telegram pre macOS ukladal lokálne heslo v obyčajnom texte ako súbor JSON. Opäť môžete vidieť túto chybu v akcii vo videu od Dhiraja.

Dhiraj oznámil svoje zistenia Telegramu 26. decembra 2020 a vývojári ich rýchlo opravili v Telegrame 7.4. Výskumníkovi udelili aj odmenu 3000 dolárov.

V roku 2021 zažije Telegram veľkú migráciu používateľov z WhatsApp po tom, čo sa tento ocitol v ďalšom škandále v oblasti ochrany osobných údajov. Keď sa viac pozerá na Telegram a jeho zásady ochrany súkromia, nie je prekvapujúce, že výskumníci našli predtým neznáme chyby a problémy. Dobrá vec je, že vývojári rýchlo reagujú a opravujú tieto chyby. Napriek tomu tento príbeh ukazuje, že ani tie najlepšie služby nie sú imúnne voči chybám a chybám.