Dhiraj Mishra, un investigador de seguridad, ha compartido con Computadora que suena Hallazgos interesantes de dos errores de seguridad en la aplicación de mensajería Telegram ahora corregida para macOS. Estos problemas hicieron que la aplicación no eliminara correctamente los medios de autodestrucción en los chats secretos ni almacenara el código de acceso local en texto sin formato.
El primer problema se relaciona con el mecanismo de autodestrucción de medios en los chats secretos (estos están protegidos con chats cifrados de extremo a extremo que no se sincronizan entre dispositivos). La idea principal de esta característica es enviar “de forma segura” un archivo que desaparecerá automática y completamente sin dejar rastro del dispositivo del destinatario después de un tiempo específico.
Resulta que Telegram había estado filtrando una ruta al almacenamiento sandbox donde guarda los medios recibidos de chats regulares y secretos. Fue relativamente fácil extraer esta ruta y obtener las copias de los medios incluso después de que la aplicación eliminó todos los archivos autodestructivos recibidos. Puedes ver a Dhiraj Mishra demostrando este error en el vídeo a continuación.
Un investigador también descubrió que Telegram para macOS había estado almacenando una contraseña local en texto sin formato como un archivo JSON. Nuevamente, puedes ver este error en acción en el video de Dhiraj.
Dhiraj notificó a Telegram sus hallazgos el 26 de diciembre de 2020 y los desarrolladores los solucionaron rápidamente en Telegram 7.4. También otorgaron al investigador una recompensa de 3.000 dólares.
En 2021, Telegram experimentará una gran migración de usuarios desde WhatsApp después de que este último se viera envuelto en otro escándalo de privacidad. Con más ojos puestos en Telegram y sus políticas de protección de la privacidad, no sorprende que los investigadores encuentren errores y problemas previamente desconocidos. Lo bueno es que los desarrolladores responden rápidamente y corrigen estos errores. Aún así, esta historia muestra que incluso los mejores servicios no son inmunes a errores y errores.
