I team di sicurezza di Telegram hanno annunciato l’applicazione di patch a una vulnerabilità critica che ha fatto sì che i file audio e video, che avrebbero dovuto essere autodistrutti, rimanessero archiviati suidispositivi degli utenti macOS. Questo difetto risiede nella funzione “chat segreta”, che offre funzionalità aggiuntive per la privacy.
Quando si utilizza la funzione di chat segreta in Telegram, le chat sono crittografate end-to-end ed è impossibile inoltrare messaggi ad altri utenti e qualsiasi file inviato tramite questa funzione si autodistruggerà dopo un determinato periodo di tempo, quindi i dispositivi non faranno memorizzare i record di queste conversazioni.
Lo specialista della sicurezza informatica Dhiraj Mishra afferma che la versione 7.3 dell’app per dispositivi macOS era affetta da una grave vulnerabilità nella funzione di chat segreta che non consentiva l’eliminazione di questi registri, che sarebbero trapelati dal percorso sandbox in cui sono archiviati i file privati.
Sebbene il percorso non sarebbe stato filtrato nelle chat segrete, i media ricevuti sarebbero rimasti archiviati nella stessa cartella: “Nel mio caso, questo percorso era / var / folders / x7 / khjtxvbn0lzgjyy9xzc18z100000gn / T / “, afferma l’esperto. Mishra afferma anche che durante l’esecuzione della stessa attività nell’opzione di chat segreta, l’ URI MediaResourceData (percorso: //) non è stato filtrato, anche se il file è rimasto memorizzato nel percorso precedente.null
“Quando questi file sono stati eliminati dalla chat, il registro multimediale effettivo era ancora disponibile nella cartella del dispositivo; Gli utenti A e B, che comunicano tramite la funzione di chat segreta, possono condividere messaggi multimediali e impostare un periodo di autodistruzione di 20 secondi. Tuttavia, anche se il messaggio viene eliminato dopo la scadenza, il file rimane nel percorso personalizzato dell’utente A, influendo sulla privacy dell’utente B”, conclude l’esperto.
Si tratta di un difetto che avrebbe potuto colpire seriamente attivisti, oppositori politici in regimi autoritari, giornalisti e altri di interesse, senza contare che qualsiasi utente della piattaforma potrebbe essere compromesso allo stesso modo.
L’esperto ha anche segnalato un difetto di sicurezza che consentiva di memorizzare le password locali degli utenti in testo normale; tali informazioni sono rimaste disponibili nel percorso Users / [nome utente] / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram / accounts-metadata , sotto forma di file JSON.
Telegram ha ricevuto entrambi i rapporti a dicembre 2020, quindi diverse patch di sicurezza sono state incluse con il rilascio di Telegram 7.4. L’azienda ha premiato i rapporti di Mishra con 3.000 dollari.