Utilisez-vous Telegram? Dans l'affirmative, vous devez savoir que l'application de messagerie a corrigé une vulnérabilité liée à la confidentialité dans l'application macOS. Le bogue a permis d'accéder à des messages audio et vidéo autodestructeurs même après avoir quitté les discussions secrètes.
Telegram contenait une vulnérabilité de confidentialité dans son application macOS
Le bug, découvert par Dhiraj Mishra, résidait dans la version 7.3 de Telegram pour macOS. Heureusement, le problème est déjà corrigé dans la version 7.4, qui a été publié fin janvier.
«Télégramme qui a 500 millions d'utilisateurs actifs souffrent d'un bug logique existe dans le télégramme pour macOS (7.3 (211334) Stable) qui stocke la copie locale du message reçu (audio Video) sur un chemin personnalisé même après que ces messages aient été supprimés / disparus du chat secret,» Le chercheur a écrit.
Le chercheur a découvert que si un utilisateur ouvre Telegram sur macOs pour envoyer un message audio ou vidéo enregistré dans une discussion normale, l'application ferait fuir le chemin du bac à sable où le message enregistré est stocké dans un “.mp4” fichier. Si l'utilisateur effectue la même action dans une discussion normale, le message serait stocké sur le même chemin.
Mishra a créé un preuve de concept vidéo dans lequel «l'utilisateur reçoit un message autodestruit dans l'option de chat secret, qui est stocké même après l'autodestruction du message. »
Telegram a subi une violation de données en 2020
Ce n'est pas le premier cas où Telegram est impliqué dans un incident de confidentialité. L'année dernière, des pirates ont accédé aux bases de données internes de Telegram, et les informations personnelles de millions d'utilisateurs.
La faille a été découverte après que la base de données et des informations sur son contenu ont été publiées sur un forum souterrain. Le fichier contenait les numéros de téléphone des utilisateurs ainsi que leurs identifiants uniques Telegram..
La violation a été causée par une vulnérabilité dans la fonction d'exportation des contacts de l'application, accessible lors d'une nouvelle inscription pour un utilisateur. Les acteurs de la menace ont pu l'utiliser pour détourner les informations.