Telegram «bate -papo secreto» não eliminou arquivos multimídia auto -destrutiva

O Telegram corrigiu um problema de segurança em que arquivos de áudio e vídeo autodestrutivos não estavam sendo excluídos dos dispositivos macOS do usuário conforme o esperado.

O Telegram oferece um modo de "chat secreto" que oferece mais privacidade do que os chats padrão.

Em um bate-papo secreto, as conexões são criptografadas de ponta a ponta, as mensagens não podem ser encaminhadas para outros usuários e todas as mensagens e mídias podem ser configuradas para se autodestruirem automaticamente e serem excluídas de todos os dispositivos após um determinado período de tempo.

Ontem, o pesquisador de segurança Dhiraj Mishra disse ao BleepingComputer que descobriu uma vulnerabilidade no recurso Secret Chat no Telegram 7.3, onde a mídia autodestrutiva é apagada dos dispositivos receptores.

Ao realizar uma verificação de segurança do Telegram no macOS, Mishra descobriu que os bate-papos padrão perderiam o caminho da sandbox onde os arquivos de vídeo e áudio recebidos são armazenados.

Telegram perde o caminho da mídia arquivada

Mesmo que essa rota não vaze em chats secretos, a mídia recebida ainda será armazenada na mesma pasta.

"No meu caso, o caminho era (/var/folders/x7/khjtxvbn0lzgjyy9xzc18z100000gn /T/). Ao executar a mesma tarefa com a opção de bate-papo secreto, o URI MediaResourceData (path://) não vazou, mas o áudio/vídeo gravado mensagem ainda está armazenada no caminho antigo", explicou Mishra em um relatório de vulnerabilidade.

Dishra descobriu que quando a mídia se autodestruiu e foi removida do bate-papo, os arquivos de mídia reais ainda estavam acessíveis na pasta do computador.

"Bob (o invasor usando o macOS tdesktop) e Alice (a vítima) estão se comunicando com a opção de bate-papo secreto e Alice envia uma mensagem de áudio/vídeo gravada para Bob com um temporizador de autodestruição de 20 segundos."

"No entanto, a mensagem gravada é excluída do chat após 20 segundos, mas ainda permanece na rota personalizada de Bob, aqui o Telegram não impede a privacidade de Alice. Em geral, a função autodestruir e não deixar rastro falhou", explica ele. Mishra em uma mensagem compartilhada. cenário de ataque com BleepingComputer.

Esse bug é uma preocupação especial para usuários que podem enviar vídeos altamente confidenciais para outros usuários do Telgrams com a expectativa de que o aplicativo os remova automaticamente após um determinado tempo.

Para ilustrar esse problema de segurança, Mishra forneceu o seguinte vídeo de demonstração.

Código de acesso salvo como texto simples

Além do problema de segurança do bate-papo secreto, Mishra descobriu que o Telegram armazenava as senhas locais do usuário para desbloquear o aplicativo em texto simples no dispositivo.

Esses códigos de acesso de texto simples foram salvos no arquivo Users /[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata como um arquivo JSON.

Essas duas vulnerabilidades foram relatadas por Dishra em 26 de dezembro de 2020 e agora foram corrigidas no Telegram 7.4.

Por relatar os dois bugs, Mishra recebeu uma recompensa de segurança de US$ 3.000 do Telegram.

  • A Semana no Ransomware – 12 de fevereiro de 2021
  • Os usuários do Gmail nos Estados Unidos são os mais afetados por ataques de phishing

descubra mais conteúdo

Você pode ocultar um amigo de outro amigo no Facebook?

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Deixe uma resposta Cancelar resposta

Como ter chats secretos no Telegram?

Como criar chats secretos do Telegram no Android e iOS

  1. Clique no menu, localizado no canto superior esquerdo.
  2. Selecione a opção “Novo Chat Secreto ”.
  3. Ele mostrará todos os contatos que você possui, basta selecionar a pessoa com quem deseja iniciar uma conversa privada.

Quais são os chats secretos do Telegram?

Os chats secretos especiais do Telegram usam criptografia de ponta a ponta, não deixam rastros em nossos servidores, permitem que as mensagens se autodestruam e não suportam o encaminhamento de mensagens. Além disso, os chats secretos não fazem parte da nuvem do Telegram e só podem ser acessados ​​pelo dispositivo de origem.

Qual é o melhor chat secreto?

Viber. O Viber, um dos aplicativos de mensagens seguras mais populares para Android e iOS, tem mais de um bilhão de usuários em todo o mundo. O Viber protege mensagens, chamadas, bate-papos em grupo e arquivos por meio de criptografia de ponta a ponta, usando seu próprio protocolo de criptografia.

Que coisas podem ser feitas com o Telegram?

O aplicativo permite mil e uma opções em seus chats, mas também vai além. Ele permite enviar arquivos do seu celular para o seu PC e vice-versa, torna-se um reprodutor de áudio, ajuda a compactar fotos, criar imagens GIF e até criar seu próprio blog minimalista.

Ir arriba