Telegram ha resuelto un problema de privacidad que ha degradado los pilares de seguridad en los que se basa la aplicación de mensajería de la empresa: la capacidad de eliminar contenido de forma remota de los dispositivos de destino.
Cazarrecompensas Dhiraj Mishra descubrió un error de seguridad (vía TechCrunch.
Si bien el contenido de texto de un mensaje se eliminaría si un usuario seleccionara la función «Eliminar y» en Telegram, las imágenes enviadas permanecerán en la memoria interna del teléfono a lo largo de la ruta «/ Telegram / Telegram Images /».
Ver también: Las vulnerabilidades de la puerta trasera de Telnet afectan a más de un millón de dispositivos IoT
En otras palabras, las imágenes se eliminarían de las ventanas de chat, pero aún serían accesibles si el destinatario navegara a la carpeta Imágenes de Telegram.
Supongamos un escenario en el que Bob envía un mensaje que es una imagen confidencial y fue enviado accidentalmente a Alice, Bob continúa usando una función de Telegram conocida como «Eliminar para Alice», que básicamente eliminaría el mensaje para Alice ”, la recompensa por errores. . explicó el cazador. «Aparentemente, esta función no funciona como se esperaba, ya que Alice aún puede ver la imagen almacenada en la carpeta` / Telegram / Telegram Images /`, concluyendo que la función solo borra la imagen de la ventana de chat.
Un servicio de mensajería similar, WhatsApp, propiedad de Facebook, requiere los mismos permisos de lectura / escritura / edición que Telegram en la instalación y contiene una función similar llamada «Eliminar para todos», que permite a los usuarios eliminar contenido, incluidos mensajes e imágenes. Sin embargo, para esta aplicación, los medios también se eliminan del almacenamiento al mismo tiempo.
CNET: Mozilla está probando el servicio VPN de Firefox para proteger su privacidad
En los chats uno a uno, la falta de confidencialidad de Telegram puede no ser el fin del mundo, pero en las sesiones de chat de «supergrupo» que pueden contener miles de miembros activos, las implicaciones pueden ser más serias, especialmente si un usuario envía un mensaje confidencial. mensaje. imagen o dos al azar.
«Suponga que pertenece a un grupo de 2,000.00 miembros y accidentalmente comparte un archivo multimedia que no está destinado a ser compartido en ese grupo y lo elimina marcando ‘Eliminar para todos los miembros’ en el grupo», señala Mishra. «Está confiando en una función que está descontinuada porque su archivo aún estaría almacenado para todos los usuarios».
Mishra verificó la validez del error en Telegram para Android versión 5.10.0 (1684) y el problema pudo haber afectado a Telegram para Windows e iOS, pero las pruebas no se realizaron.
Después de enviar sus hallazgos a Telegram, el mensajero aceptó la investigación y la prueba de concepto (PoC). Se ha incluido una corrección en la última versión de Telegram, versión 5.11.
Mishra recibió 2.500 euros ($ 2.749) por el informe.
TechRepublic: Google espera proteger a los usuarios con una biblioteca de privacidad diferencial de código abierto
En agosto, los investigadores de Check Point revelaron vulnerabilidades en la plataforma de mensajería de WhatsApp que podrían explotarse para «esencialmente poner palabras en [a contact’s] la boca.»
Los errores permitieron a los atacantes interceptar y manipular mensajes a través del servicio, que está protegido por cifrado de extremo a extremo, así como cambiar la identidad de los remitentes y enviar mensajes que están marcados como «privados» pero que se pueden ver. público en un chat grupal.
Facebook dijo que una de las vulnerabilidades se había solucionado, pero las otras dos eran problemáticas debido a limitaciones estructurales y arquitectónicas.
Cobertura anterior y relacionada
¿Tienes un puente? Póngase en contacto de forma segura a través de WhatsApp Señal al +447713 025 499 o más en Keybase: charlie0
