Telegram har åtgärdat ett allvarligt integritetsproblem med självförstörande media

Dhiraj Mishra, en säkerhetsforskare, har delat med Pipande dator intressanta fynd av två säkerhetsbuggar i den nu fixade Telegram messenger-appen för macOS. Dessa problem gjorde att appen misslyckades med att korrekt ta bort självförstörande media i hemliga chattar och att lagra lokalt lösenord i vanlig text.

Det första problemet gäller mekanismen för självförstörande media i hemliga chattar (dessa är säkrade med krypteringschattar från ände till ände som inte synkroniseras mellan enheter). Den här funktionens huvudidé är att "säkert" skicka en fil som automatiskt och helt försvinner utan några spår från en mottagares enhet efter en angiven tid.

Som det visade sig hade Telegram läckt en väg till sandlådelagring där det lagrar mottagna media från både vanliga och hemliga chattar. Det var relativt enkelt att extrahera denna väg och få medias kopior även efter att appen raderade alla mottagna självförstörande filer. Du kan se Dhiraj Mishra demonstrera denna bugg i videon nedan.

En forskare fann också att Telegram för macOS hade lagrat ett lokalt lösenord i vanlig text som en JSON-fil. Återigen, du kan se denna bugg i aktion i videon från Dhiraj.

Dhiraj meddelade Telegram om sina upptäckter den 26 december 2020, och utvecklarna fixade dem snabbt i Telegram 7.4. De tilldelade också forskaren en pris på 3 000 dollar.

2021 upplever Telegram stor användarmigrering från WhatsApp efter att den senare hamnat i en annan integritetsskandal. Med fler ögon på Telegram och dess integritetsskyddspolicy är det inte förvånande att forskare hittar tidigare okända buggar och problem. Det som är bra är att utvecklare snabbt svarar och fixar dessa buggar. Ändå visar den här historien att inte ens de bästa tjänsterna är immuna mot buggar och misstag.