Home Sociedad Un chat secreto en Telegram, dejó archivos multimedia autodestruibles en los dispositivos

Un chat secreto en Telegram, dejó archivos multimedia autodestruibles en los dispositivos

La popular aplicación de mensajería, Telegram, solucionó un fallo que afectaba a la privacidad en su aplicación para macOS y que permitía acceder a los mensajes de audio y video que se autodestruían mucho después de que desaparecieran de los chats secretos.

La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra en la versión 7.3 de la app, quien reveló sus hallazgos a Telegram el 26 de diciembre de 2020. El problema se ha resuelto desde entonces en la versión 7.4, lanzada el 29 de enero.

A diferencia de Signal o WhatsApp, las conversaciones en Telegram por defecto no están cifradas de extremo a extremo, a menos que los usuarios opten explícitamente por activar una función específica del dispositivo llamada “chat secreto”, que mantiene los datos cifrados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes que se autodestruyen.

Lo que Mishra descubrió fue que cuando un usuario graba y envía un mensaje de audio o vídeo a través de un chat normal, la aplicación filtró la ruta exacta donde se almacena el mensaje grabado en formato “.mp4”. Con la opción de chat secreto activada, la información de la ruta no se filtra, pero el mensaje grabado sigue almacenándose en la misma ubicación.

Además, incluso en los casos en los que un usuario recibe un mensaje que se autodestruye en un chat secreto, el mensaje multimedia sigue siendo accesible en el sistema incluso después de que el mensaje haya desaparecido de la pantalla de chat de la aplicación.

Por otro lado, Mishra también identificó una segunda vulnerabilidad en la app de Telegram para macOS que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en “/Users/<user_name>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/”.

Mishra fue premiado con 3.000 euros por informar de los dos fallos, como parte de su programa de recompensas por fallos.