Telegram 'Secret Chat' n'a pas supprimé les fichiers multimédias autodestructeurs

  • Principal
  • Nouvelles
  • Telegram 'Secret Chat' n'a pas supprimé les fichiers multimédias autodestructeurs

Télégramme

Telegram a corrigé un problème de sécurité où les fichiers audio et vidéo autodestructeurs n'étaient pas supprimés des appareils macOS de l'utilisateur comme prévu.

Telegram propose un mode 'chat secret' qui offre plus de confidentialité que les chats standard.

Dans une conversation secrète, les connexions sont cryptées de bout en bout, les messages ne peuvent pas être transférés à d'autres utilisateurs et tous les messages et médias peuvent être configurés pour s'autodétruire automatiquement et être supprimés de tous les appareils après un certain laps de temps. Météo.

Hier, le chercheur en sécurité Dhiraj Mishra a déclaré à BleepingComputer qu'il avait découvert une vulnérabilité dans la fonction de chat secret de Telegram 7.3 où les médias autodestructeurs sont effacés des appareils de réception.

Lors d'une vérification de sécurité de Telegram sur macOS, Mishra a découvert que les discussions standard perdraient le chemin du bac à sable où les fichiers vidéo et audio reçus sont stockés.

Telegram perd le chemin des médias archivés

Telegram perd le chemin des médias archivés

Même si cette route n'était pas divulguée dans les discussions secrètes, les médias reçus seraient toujours stockés dans le même dossier.

'Dans mon cas, le chemin était (/var/folders/x7/khjtxvbn0lzgjyy9xzc18z100000gn /T/). Lors de l'exécution de la même tâche avec l'option de chat secret, l'URI MediaResourceData (chemin://) n'a pas été divulgué, mais l'audio/vidéo enregistré du message est toujours stocké dans l'ancien chemin », a expliqué Mishra dans un rapport sur la vulnérabilité.

Dishra a découvert que lorsque les médias s'autodétruisaient et étaient supprimés du chat, les fichiers multimédias réels étaient toujours accessibles dans le dossier de l'ordinateur.

'Bob (l'attaquant utilisant macOS tdesktop) et Alice (la victime) communiquent avec l'option de chat secret et Alice envoie un message audio/vidéo enregistré à Bob avec une minuterie d'autodestruction de 20 secondes.'

'Cependant, le message enregistré est supprimé du chat après 20 secondes mais reste toujours dans l'itinéraire personnalisé de Bob, ici Telegram n'empêche pas la confidentialité d'Alice. En général, la fonction d'autodestruction et de ne laisser aucune trace a échoué », explique Mishra dans un message partagé. scénario d'attaque avec BleepingComputer.

Ce bogue est particulièrement préoccupant pour les utilisateurs qui peuvent envoyer des vidéos très sensibles à d'autres utilisateurs de Telgrams dans l'espoir que l'application les supprimera automatiquement après un certain temps.

Pour illustrer ce problème de sécurité, Mishra a fourni la vidéo de démonstration suivante.

''>

Code d'accès enregistré en texte brut

En plus du problème de sécurité du chat secret, Mishra a découvert que Telegram stockait les mots de passe locaux de l'utilisateur pour déverrouiller l'application en texte brut sur l'appareil.

Ces codes d'accès en texte brut ont été enregistrés dans le fichier Users /[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata en tant que fichier JSON.

''>

Dishra a signalé ces deux vulnérabilités le 26 décembre 2020 et elles ont maintenant été corrigées dans Telegram 7.4.

Pour avoir signalé les deux bogues, Mishra a reçu une récompense de sécurité de 3 000 $ de Telegram.

Qu'est-ce que tu penses?