Um pesquisador de segurança recentemente descobriu e relatou ao público uma vulnerabilidade no Telegram for macOS que pode expor mensagens de autodestruição dos usuários.
Por design, Os bate-papos secretos do telegrama contam com criptografia de ponta a ponta e devem fornecer segurança à prova de balas e privacidade dos históricos de bate-papo para usuários interessados. Essas mensagens podem ser lidas apenas pelo remetente e pelo destinatário. Mesmo os administradores do Telegram não têm as chaves de criptografia para lê-los.
Contudo, O pesquisador da Trustwave, Reegun Jayapaul, identificou falhas de privacidade nas mensagens de autodestruição do bate-papo do Telegram. Graças a essas falhas, qualquer um pode recuperar mensagens de áudio e vídeo, locais compartilhados, e até mesmo arquivos, depois que o recurso de autodestruição funcionar em ambos os dispositivos, Reegun diz em seu relatório.
Telegram no macOS contém uma vulnerabilidade de autodestruição do chat
Segundo o pesquisador, a falha existe na versão do macOS Telegram 7.5.
Por padrão, arquivos de mídia, exceto anexos, enviados para o Telegram são baixados para um local específico - uma pasta de cache. Como a vulnerabilidade pode ser explorada?
O pesquisador propôs o seguinte cenário, envolvendo dois usuários inventados, Bob e Alice. Neste cenário, ambos os usuários acabam sendo expostos:
Cenário 1: auditivo, Vídeo, Anexos, Vazamentos de locais compartilhados, mesmo após a autodestruição em ambos os dispositivos
Bob envia uma mensagem de mídia para Alice (novamente, se gravações de voz, mensagens de vídeo, imagens, ou compartilhamento de localização). Assim que Alice ler a mensagem, as mensagens serão excluídas do aplicativo de acordo com o recurso de autodestruição. Contudo, os arquivos ainda estão armazenados localmente dentro da pasta de cache disponível para recuperação.
Um segundo cenário explorando a vulnerabilidade também existe, em que apenas Bob é exposto:
Cenário 2: auditivo, Vídeo, Anexos, Vazamentos de local compartilhado sem abrir ou excluir
Bob envia uma mensagem de mídia para Alice (se gravações de voz, mensagens de vídeo, imagens, ou compartilhamento de localização). Sem abrir a mensagem, uma vez que pode se autodestruir, Em vez disso, Alice vai para a pasta de cache e pega o arquivo de mídia. Ela também pode excluir as mensagens da pasta sem lê-las no aplicativo. Independentemente, Bob não saberá se Alice leu a mensagem, e Alice manterá uma cópia permanente da mídia.
O Telegram corrigiu a vulnerabilidade?
O pesquisador entrou em contato com o Telegram, e a empresa estava ansiosa para corrigir o problema no primeiro cenário. Contudo, O Telegram se recusou a corrigir o segundo problema que envolve cache. Em vez de, a empresa compartilhou algumas soluções alternativas para o cronômetro de autodestruição que estão fora do controle do aplicativo. além disso, O Telegram diz que alertou os usuários sobre isso em sua página oficial de perguntas frequentes.
Jayapaul, Contudo, acredita que existe uma solução simples. “Se você anexar arquivos de mídia a uma mensagem, os anexos não podem ser acessados no cache antes de clicar na mensagem. Somente depois que a mensagem é aberta no aplicativo os anexos são baixados e excluídos após o cronômetro,” o pesquisador diz.
Também é digno de nota que Jayapaul se recusou a receber uma recompensa por insetos por sua descoberta. Em vez de, ele escolheu ir a público com a divulgação. “É essencial para o público de várias maneiras. Por causa dessas preocupações e meu compromisso com a segurança da informação, Recusei a recompensa por bug em troca de divulgação," ele explica.
Falhas anteriores do Telegram
No início deste ano, pesquisadores de segurança relataram a abundância de vulnerabilidades de um clique em vários aplicativos de software populares, Telegrama incluído, permitindo que os agentes da ameaça realizem ataques de execução de código arbitrário.
É também digno de menção que, em fevereiro, o pesquisador de segurança Dhiraj Mishra descobriu que o Telegram continha uma vulnerabilidade de privacidade em seu aplicativo macOS.
O bug residia na versão 7.3 do Telegram para macOS.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: