Esta popular función de privacidad de Telegram es prácticamente inútil para algunos usuarios
Los investigadores de seguridad han descubierto una forma sencilla de evitar la función de mensajería autodestructiva en una popular aplicación de chat. Telegrama.
En un entrada en el blog, la firma de seguridad Trustwave ha detallado dos vulnerabilidades separadas en Telegram para macOS, las cuales comprometen la efectividad de la función de privacidad.
Se puede abusar del primero para recuperar datos de mensajes (imágenes, mensajes de video, grabaciones de voz y ubicaciones compartidas) incluso después de que se haya desencadenado el proceso de autodestrucción, mientras que el segundo permite que alguien acceda a los medios sin abrir el mensaje y desencadenar la autodestrucción. temporizador de destrucción.
Ambos escenarios son posibles debido a la forma en que Telegram almacena en caché el contenido de los mensajes en dispositivos macOS, pero otros sistemas operativos no se ven afectados.
Funciones de privacidad de Telegram
La opción de mensajería de autodestrucción se encuentra en el modo de chat secreto de Telegram, que ofrece a los usuarios una capa adicional de privacidad y seguridad proporcionada por el cifrado de extremo a extremo. Esto significa que ningún tercero tiene acceso a los mensajes enviados y recibidos, incluido el Telegram.
Los mensajes autodestructivos deberían llevar esto un paso más allá, permitiendo a los usuarios configurar un temporizador después del cual los mensajes y los medios asociados se eliminan de ambos dispositivos sin dejar rastro. Sin embargo, los dos errores descubiertos por Trustwave parecen hacer que la función sea obsoleta.
Trustwave dice que informó ambos problemas de seguridad a Telegram, que tomó medidas para conectar uno pero no el otro. Al momento de escribir estas líneas, Telegram para macOS aún puede ser abusado para obtener acceso a archivos multimedia sin abrir un mensaje de autodestrucción.
Como justificación de la decisión de dejar sin resolver la segunda cuestión, Telegram proporcionó a los investigadores la siguiente afirmación:
“Tenga en cuenta que el propósito principal del temporizador de autodestrucción es servir como una forma sencilla de eliminar automáticamente mensajes individuales. Sin embargo, hay algunas formas de evitar esto que están más allá del control de la aplicación Telegram (como copiar la carpeta de la aplicación) y alertamos claramente a los usuarios sobre estas circunstancias. «
En su publicación de blog, Trustwave también señala que se vio obligado a rechazar la oferta de recompensa por errores, cuya recepción habría impedido que los investigadores divulgaran sus hallazgos al público.
“Las recompensas por errores son una recompensa bienvenida para los investigadores individuales que brindan lo que equivale a una auditoría de seguridad que da como resultado un mejor producto y una base de usuarios más segura”, escribió Reegun Jayapaul, arquitecto líder de amenazas.
“Sin embargo, las recompensas por errores que requieren silencio permanente sobre una vulnerabilidad no ayudan a la comunidad en general a mejorar sus prácticas de seguridad y pueden servir para plantear preguntas sobre qué es exactamente lo que compensa la recompensa por errores para el individuo: informar una vulnerabilidad o su silencio para la comunidad. «
Telegram aún no ha respondido a nuestra solicitud para responder a esta crítica.
