En sikkerhedsforsker opdagede for nylig og rapporterede til offentligheden en sårbarhed i Telegram til macOS, der kunne afsløre brugernes selvdestruktive meddelelser.
Af design, Telegrams hemmelige chats er afhængige af ende-til-ende-kryptering og bør give skudsikker sikkerhed og fortrolighed for chathistorier til berørte brugere. Disse meddelelser kan kun læses af afsender og modtager. Selv Telegrams administratorer har ikke krypteringsnøglerne til at læse dem.
Men, Trustwaves forsker Reegun Jayapaul identificerede fejl i privatlivet i Telegrams selvdestruktive chatbeskeder. Takket være disse fejl, alle kan hente lyd- og videomeddelelser, delte placeringer, og endda filer, efter at selvdestruktionsfunktionen fungerer på begge enheder, Det siger Reegun i sin rapport.
Telegram på macOS Indeholder en sårbarhed ved selvdestruktion af chat
Ifølge forskeren, fejlen findes i macOS Telegram -version 7.5.
Som standard, mediefiler, undtagen vedhæftede filer, sendt til Telegram downloades til et bestemt sted - en cachemappe. Hvordan kan sårbarheden udnyttes?
Forskeren kom med følgende scenario, involverer to brugere, Bob og Alice. I dette scenarie, begge brugere ender med at blive afsløret:
Scenarie 1: Lyd, Video, Vedhæftede filer, Delt placering lækker, selv efter selvdestruktion på begge enheder
Bob sender en mediebesked til Alice (igen, om taleoptagelser, videobeskeder, billeder, eller placeringsdeling). Når Alice læser beskeden, meddelelserne vil blive slettet i appen i henhold til selvdestruktionsfunktionen. Men, filerne gemmes stadig lokalt i cachemappen, der er tilgængelig til gendannelse.
Et andet scenario, der udnytter sårbarheden, findes også, hvor kun Bob er udsat:
Scenarie 2: Lyd, Video, Vedhæftede filer, Delt sted lækker uden at åbne eller slette
Bob sender en mediebesked til Alice (om taleoptagelser, videobeskeder, billeder, eller placeringsdeling). Uden at åbne beskeden, da det kan ødelægge sig selv, Alice går i stedet til cachemappen og griber mediefilen. Hun kan også slette beskederne fra mappen uden at læse dem i appen. Uanset, Bob ved ikke, om Alice har læst beskeden, og Alice vil beholde en permanent kopi af medierne.
Har Telegram rettet sårbarheden?
Forskeren kom i kontakt med Telegram, og virksomheden var ivrig efter at løse problemet i det første scenario. Men, Telegram nægtede at løse det andet problem, der involverer cachelagring. I stedet, virksomheden delte nogle løsninger på selvdestruktionstimeren, der ligger uden for, hvad appen kan kontrollere. Endvidere, Telegram siger, at det har advaret brugerne om dette på deres officielle FAQ -side.
Jayapaul, dog, mener, at der er en simpel løsning. “Hvis du vedhæfter mediefiler til en besked, vedhæftede filer kan ikke åbnes i cachen, før du klikker på meddelelsen. Først efter at meddelelsen er åbnet i appen, downloades vedhæftede filer og derefter slettes efter timeren," forskeren siger.
Det er også bemærkelsesværdigt, at Jayapaul afviste at modtage en bug -dusør for sin opdagelse. I stedet, han valgte at offentliggøre med afsløringen. ”Det er vigtigt for offentligheden på forskellige måder. På grund af disse bekymringer og mit engagement i informationssikkerhed, Jeg har afvist bug bounty i bytte for afsløring,”Forklarer han.
Forrige telegramfejl
Tidligere i år, sikkerhedseksperter rapporteret overflod af sårbarheder med et klik i flere populære software -apps, Telegram inkluderet, tillader trusselaktører at udføre vilkårlige angreb på eksekvering af kode.
Det er også nævneværdigt det, i februar, sikkerhedsforsker Dhiraj Mishra opdagede, at Telegram indeholdt en sårbarhed om beskyttelse af personlige oplysninger i sin macOS -app.
Fejlen var i version 7.3 af Telegram til macOS.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: