El chat secreto en Telegram dejó archivos multimedia que se autodestruían en los dispositivos

La popular aplicación de mensajería Telegram corrigió un error que anulaba la privacidad en su aplicación macOS que permitía acceder a mensajes de audio y video que se autodestruían mucho después de que desaparecieran de los chats secretos.

La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra en la versión 7.3 de la aplicación, quien reveló sus hallazgos a Telegram el 26 de diciembre de 2020. Desde entonces, el problema se resolvió en la versión 7.4, lanzada el 29 de enero.

A diferencia de Signal o WhatsApp, las conversaciones en Telegram no están encriptadas de manera predeterminada, a menos que los usuarios opten explícitamente por habilitar una función específica del dispositivo llamada «chat secreto», que mantiene los datos encriptados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes autodestructivos.

Lo que Mishra descubrió fue que cuando un usuario graba y envía un mensaje de audio o video a través de un chat normal, la aplicación filtra la ruta exacta donde se almacena el mensaje grabado en formato «.mp4». Con la opción de chat secreto activada, la información de la ruta no se filtra, pero el mensaje grabado aún se almacena en la misma ubicación.

Además, incluso en los casos en que un usuario recibe un mensaje autodestructivo en un chat secreto, el mensaje multimedia permanece accesible en el sistema incluso después de que el mensaje haya desaparecido de la pantalla de chat de la aplicación.

«El telegrama dice que los chats ‘supersecretos’ no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada», dijo Mishra a The Hacker News.

Por separado, Mishra también identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba códigos de acceso locales en texto sin formato en un archivo JSON ubicado en «/Users//Library/Group Containers/<*>. Ru.keepcoder.Telegram/cuentas-metadata /. «

Mishra recibió 3000 € por informar de los dos defectos como parte de su programa de recompensas por errores.

En enero, Telegram alcanzó un hito de 500 millones de usuarios mensuales activos, en parte debido a un aumento en los usuarios que abandonaron WhatsApp luego de una revisión de su política de privacidad que incluye compartir ciertos datos con su matriz corporativa, Facebook.

Si bien el servicio ofrece encriptación cliente-servidor/servidor-cliente (usando un protocolo patentado llamado «MTProto») y también cuando los mensajes se almacenan en la nube de Telegram, vale la pena tener en cuenta que los chats grupales no ofrecen un servicio de extremo a extremo. cifrado y que todos los historiales de chat predeterminados se almacenan en sus servidores. Esto es para hacer que las conversaciones sean fácilmente accesibles en todos los dispositivos.

«Entonces, si está en Telegram y quiere un chat grupal verdaderamente privado, no tiene suerte», dijo Raphael Mimoun, fundador de la organización sin fines de lucro de seguridad digital Horizontal, el mes pasado.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática