Telegram, che ha riscosso un certo successo dopo l’esodo che ha riguardato la diretta rivale WhatsApp, inizia a mostrare cenni di cedimento per quanto riguarda la sicurezza di alcuni file, in particolare quelli postati in una qualsiasi chat segreta. Gli sviluppatori di sicurezza di Telegram hanno infatti annunciato l’applicazione di patch a una vulnerabilità critica per quel che riguarda i file audio e video, che avrebbero dovuto essere autodistrutti, e invece sono stati archiviati sui device dei consumatori.
Chat segreta: ecco cosa è andato storto
Nel momento in cui si apre una chat segreta, le conversazioni dovrebbero essere crittografate end-to-end rendendo impossibile inoltrare messaggi ad altri contatti e qualsiasi file inviato attraverso questa funzione si autodistruggerà dopo un determinato lasso di tempo, quindi i device interessati non permetteranno di memorizzare i record di queste chat.
L’esperto della sicurezza informatica Dhiraj Mishra ha dichiarato che la versione 7.3 dell’app per dispositivi macOS era affetta da una significativa vulnerabilità nella funzione di chat segreta che non permetteva l’eliminazione di questi registri, che sarebbero trapelati dal percorso sandbox in cui sono archiviati i file privati.
Sebbene il percorso non sarebbe stato filtrato nelle chat segrete, i media ricevuti sarebbero rimasti archiviati nella stessa cartella: “Nel mio caso, questo percorso era / var / folders / x7 / khjtxvbn0lzgjyy9xzc18z100000gn / T / “, afferma l’esperto. Mishra afferma anche che durante l’esecuzione della stessa attività nell’opzione di chat segreta, l’ URI MediaResourceData (percorso: //) non è stato filtrato, anche se il file è rimasto memorizzato nel percorso precedente” ha spiegato Mishra.
“Quando questi file sono stati eliminati dalla chat, il registro multimediale effettivo era ancora disponibile nella cartella del dispositivo; Gli utenti A e B, che comunicano tramite la funzione di chat segreta, possono condividere messaggi multimediali e impostare un periodo di autodistruzione di 20 secondi. Tuttavia, anche se il messaggio viene eliminato dopo la scadenza, il file rimane nel percorso personalizzato dell’utente A, influendo sulla privacy dell’utente B”, ha concluso l’esperto.
Mishra ha anche rivelato una falla nella sicurezza che permetteva di memorizzare le password locali degli utenti in testo normale; tali informazioni sono rimaste disponibili nel percorso Users / [nome utente] / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram / accounts-metadata , sotto forma di file JSON.
