![Systweak VPN – Beste VPN voor verbeterde beveiliging en snelheid](/f/9a99f73e7279e8d120577606c05310b4.png?width=100&height=100)
Telegram, een van de meest populaire berichten-app, is gevonden met een beveiligingsfout die de privégegevens van Mac-gebruikers blootlegt. Er wordt gezegd dat de bug het mogelijk heeft gemaakt om toegang te krijgen tot zelfvernietigende audio- en videoberichten na verwijdering uit geheime chats.
Een beveiligingsonderzoeker Dhiraj Mishra heeft op 26 december 2020 de kwetsbaarheid in app-versie 7.3 ontdekt. Het probleem werd echter niet opgelost, zelfs niet in de 7.4 versie die op 29 januari uitkomt.
Telegram-app-gesprekken zijn standaard niet end-to-end versleuteld totdat de gebruikers de functie "Geheime chat" inschakelen. Deze functie houdt de gegevens ook versleuteld op Telegram-servers.
De beveiligingsonderzoeker ontdekte de fout in de geheime chatfunctie. Hij ontdekte dat wanneer de gebruiker mediabestanden verzendt in een normale chat, de app onthult de bestemming waar de map met de afbeelding, video wordt opgeslagen.
Het mediabestand blijft in de lokale opslagmap, zelfs nadat het automatisch uit het chatvenster is verwijderd. Mishra ontdekte dat de app voor macOS versie 7.3 lokale toegangscodes opslaat die de gebruiker heeft ingesteld. En dit betekent dat elke gebruiker uw toegangscode kan vinden en toegang kan krijgen tot uw chats. De lokale toegangscode wordt in platte tekst opgeslagen in het JSON-bestand onder "/Users/
Volgens de onderzoeker
"Telegram zegt dat 'supergeheime' chats geen sporen achterlaten, maar de lokale kopie van dergelijke berichten opslaat onder een aangepast pad".
“Tijdens mijn beoordeling ontdekte ik dat zelfvernietigde berichten, in dit geval opgenomen audio-/videoberichten, eigenlijk nooit worden verwijderd en een lokale kopie achterlaten onder een aangepast/sandbox-pad. Het opgenomen audio-/videobericht wordt opgeslagen in mp4- of mov-indeling en blijft behouden, zelfs nadat een gebruiker voor iedereen uit de normale chat heeft verwijderd.”
Voor het rapporteren over de twee fouten kreeg beveiligingsonderzoeker Dhiraj Mishra €3.000 toegekend als onderdeel van zijn programma.
In januari kreeg Telegram 500 miljoen maandelijkse actieve gebruikers, toen Whatsapp een update van het privacybeleid bracht. Door deze update zijn veel gebruikers overgestapt op Telegram en Signal.