Telegram, una de las aplicaciones de mensajería más populares se ha encontrado con un falla de seguridad que expone los datos privados de los usuarios de Mac. Se dice que el error ha hecho posible acceder a mensajes de audio y video autodestructivos después de eliminarlos de los chats secretos.
Un investigador de seguridad, Dhiraj Mishra, descubrió la vulnerabilidad en la versión 7.3 de la aplicación el 26 de diciembre de 2020. Sin embargo, el problema no se resolvió ni siquiera en el Versión 7.4 que se publica el 29 de enero.
Las conversaciones de la aplicación Telegram no están encriptadas de un extremo a otro de forma predeterminada hasta que los usuarios habilitan la función llamada "Chat secreto". Esta función también mantiene los datos cifrados en los servidores de Telegram.
El investigador de seguridad descubrió la falla en la función de chat secreto. Descubrió que cada vez que el usuario envía archivos multimedia en un chat normal, el La aplicación revela el destino de donde se almacena la carpeta de la imagen, el video.
El archivo multimedia permanece en la carpeta de almacenamiento local incluso después de ser eliminado automáticamente de la ventana de chat. Mishra descubrió que la aplicación para macOS versión 7.3 almacena códigos de acceso locales que el usuario ha establecido. Y esto significa que cualquier usuario puede encontrar su contraseña y acceder a sus chats. El código de acceso local se almacena en texto sin formato en un archivo JSON ubicado en "/ Usuarios /
Según el investigador,
"Telegram dice que los chats 'súper secretos' no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada".
“Durante mi evaluación, descubrí que los mensajes autodestruidos, en este caso, los mensajes de audio / video grabados, en realidad nunca se eliminan y dejan una copia local en una ruta personalizada / sandbox. El mensaje de audio / video grabado se almacena en formatos mp4 o mov, y aún permanece incluso después de que un usuario lo elimine para todos del chat normal ".
Por informar sobre las dos fallas, el investigador de seguridad Dhiraj Mishra recibió 3.000 € como parte de su programa.
En enero, Telegram obtuvo 500 millones de usuarios activos mensuales, ya que Whatsapp trajo una actualización de la política de privacidad. Debido a esta actualización, muchos usuarios se han cambiado a Telegram y Signal.