Telegram para macOS não excluiu vídeos autodestrutivos

Telegram for macOS

Os desenvolvedores do Telegram corrigiram um bug devido ao qual áudio e vídeo autodestrutivos não eram removidos de dispositivos executando macOS.

Deixe-me lembrá-lo que no modo de bate-papo secreto, você não pode encaminhar mensagens para outros usuários, e também é possível configurar a autodestruição automática de todas as mensagens e multimídia após um determinado tempo.

Especialista independente em segurança da informação Dhiraj Mishra descobri que na versão Telegram 7.3, mensagens autodestrutivas não foram completamente excluídas do dispositivo do destinatário.

Ao compreender a implementação de várias medidas de segurança e privacidade no telegrama, Identifiquei que o telegrama falha novamente no tratamento dos dados dos usuários. Telegrama que tem 500 milhão de usuários ativos sofrem de um bug lógico existente no telegrama para macOS que armazena a cópia local da mensagem recebida (áudio vídeo) em um caminho personalizado mesmo depois que essas mensagens forem excluídas/desaparecerem do bate-papo secreto.Dhiraj Mishra escreveu.

Então, o especialista percebeu que nos chats padrão do macOS escapam do caminho da sandbox, onde todos os arquivos de vídeo e áudio recebidos são armazenados. Embora este caminho funcione em chats secretos, os arquivos de mídia recebidos ainda estão armazenados lá, mesmo que as mensagens do próprio chat já tenham se destruído, como deveriam ter.

Prumo (o invasor usando o tdesktop macOS) e Alice (a vítima) ter um bate-papo secreto, e Alice envia uma mensagem de áudio/vídeo para Bob com um temporizador de autodestruição de 20 segundos. Embora a mensagem seja removida do chat após 20 segundos, ainda está disponível através do caminho personalizado de Bob, aqui o Telegram não pode impedir a privacidade de Alice. Em geral, a função de autodestruição e trabalho sem vestígios não funciona.o especialista escreve.

Adicionalmente, Mishra descobriu que o Telegram estava armazenando códigos de acesso locais para desbloquear o aplicativo em formato de texto simples. Eles foram salvos na pasta Usuários/[nome de usuário]/Pasta Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata como arquivos JSON.

O pesquisador descobriu os dois problemas no final de dezembro 2020, e foram corrigidos com o lançamento do Telegram 7.4. Mishra recebeu uma recompensa de $3,000 por reportar ambos os erros.

Deixe-me lembrá-lo que também relatei que um pesquisador descobriu vulnerabilidade no Telegram, que permite localizar o usuário.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *