Tajný rozhovor v telegrame zanechal samodeštruktívne mediálne súbory na zariadeniach

Populárna aplikácia na odosielanie správ Telegram opravila chybu narúšajúcu súkromie vo svojej aplikácii pre macOS, ktorá umožňovala prístup k samodeštrukčným zvukovým a video správam dlho potom, čo zmizli z tajných rozhovorov.

Zraniteľnosť objavil bezpečnostný výskumník Dhiraj Mishra vo verzii 7.3 aplikácie, ktorý svoje zistenia zverejnil Telegramu 26. decembra 2020. Problém bol odvtedy vyriešený vo verzii 7.4, vydaný 29. januára.

Na rozdiel od Signal alebo WhatsApp nie sú konverzácie na telegrame v predvolenom nastavení šifrované end-to-end, pokiaľ sa používatelia výslovne nerozhodnú povoliť funkciu špecifickú pre zariadenie nazývanú „tajný chat“, ktorá uchováva údaje šifrované aj na serveroch telegramu. V rámci tajných rozhovorov je k dispozícii aj možnosť odosielania samodeštrukčných správ.

Mishra zistil, že keď používateľ nahrá a odošle zvukovú alebo video správu cez bežný chat, z aplikácie unikla presná cesta, kde je zaznamenaná správa uložená vo formáte „.mp4“. Keď je zapnutá možnosť tajného chatu, informácie o ceste sa neuložia, ale zaznamenaná správa sa stále ukladá na rovnaké miesto.

Navyše, aj v prípadoch, keď používateľ dostane v tajnom chate sebadeštrukčnú správu, multimediálna správa zostane v systéme dostupná aj po zmiznutí správy z obrazovky chatu aplikácie.

“Telegram hovorí, že ‘supertajné’ chaty nezanechávajú stopy, ale uchováva lokálnu kópiu takýchto správ pod vlastnou cestou,” povedal Mishra pre The Hacker News.

Mishra tiež identifikovala druhú zraniteľnosť v aplikácii Telegram pre macOS, ktorá uložila miestne prístupové kódy vo formáte obyčajného textu v súbore JSON umiestnenom pod „/Users//Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata /.”

Mishra bola ocenená €3,000 za nahlásenie dvoch nedostatkov v rámci svojho bug bounty programu.

Telegram v januári dosiahol míľnik 500 miliónov aktívnych používateľov mesačne, čiastočne spôsobený prudkým nárastom počtu používateľov, ktorí utiekli z WhatsApp po revízii jeho zásad ochrany osobných údajov, ktoré zahŕňajú zdieľanie určitých údajov s jeho materskou spoločnosťou. Facebook.

Aj keď služba ponúka šifrovanie klient-server/server-klient (pomocou proprietárneho protokolu s názvom „MTProto“) a tiež keď sú správy uložené v cloude Telegram, je potrebné mať na pamäti, že skupinové chaty neponúkajú žiadne end-to-end šifrovanie a že všetky predvolené histórie rozhovorov sú uložené na jeho serveroch. Je to preto, aby boli konverzácie ľahko dostupné naprieč zariadeniami.

“Takže ak ste na Telegrame a chcete skutočne súkromný skupinový chat, máte smolu,” povedal minulý mesiac Raphael Mimoun, zakladateľ neziskovej organizácie pre digitálnu bezpečnosť Horizontal.