Los equipos de seguridad de Telegram anunciaron la corrección de una vulnerabilidad que generaba que los archivos de audio y video, que supuestamente debían autodestruirse, permanecieran almacenados en los dispositivos de los usuarios de equipos macOS. Esta falla reside en la función de “chat secreto”, que ofrece funciones adicionales de privacidad.
Al usar la función de chat secreto en Telegram, los chats se cifran de extremo a extremo y es imposible reenviar mensajes a otros usuarios, además de que cualquier archivo enviado a través de esta función se autodestruirá después de un plazo predeterminado, por lo que los dispositivos no almacenarán registro alguno de estas conversaciones.
Dhiraj Mishra, especialista en ciberseguridad, menciona que la versión 7.3 de la aplicación para dispositivos macOS se veía afectada por una vulnerabilidad en la función de chat secreto que no permitía la eliminación de estos registros, que serían filtrados desde la ruta del entorno sandbox en el que se almacenan los archivos privados.
Aunque la ruta no se filtraría en los chats secretos, los medios recibidos permanecerían almacenados en la misma carpeta: “En mi caso, esta ruta era /var/folders/x7/khjtxvbn0lzgjyy9xzc18z100000gn/T/,” menciona el experto. Mishra también menciona que mientras realizaba la misma tarea en la opción de chat secreto, el URI de MediaResourceData(path://) no se filtraba, aunque el archivo permanecía almacenado en la ruta anterior.
“Al ser eliminados estos archivos del chat, el registro multimedia real aún estaba disponible en la carpeta del dispositivos; los usuarios A y B, comunicándose a través de la función de chat secreto, pueden compartir mensajes multimedia y establecer un plazo de autodestrucción de 20 segundos. No obstante, aunque el mensaje se elimine una vez cumplido el plazo, el archivo permanece bajo la ruta personalizada del usuario A, afectando la privacidad del usuario B”, concluye el experto.
Esta es una falla que podría haber afectado seriamente a activistas, opositores políticos en regímenes autoritarios, periodistas y otras personas de interés, sin mencionar que cualquier usuario de la plataforma podría verse comprometido igualmente.
El experto también reportó una falla que provocaba el almacenamiento de las contraseñas locales de los usuarios en texto sin formato, información que permanecía disponible en la ruta Users/[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata, en la forma de archivos JSON.
Telegram recibió ambos informes en diciembre de 2020, por lo que se incluyeron múltiples parches de seguridad con el lanzamiento de Telegram 7.4. La compañía recompensó los informes de Mishra con 3 mil dólares. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
