Telegram odmítl opravit scénář, ve kterém lze tuto chybu zneužít, a přiměl výzkumného pracovníka Trustwave, aby odmítl odměnu za chyby a místo toho zveřejnil svá zjištění.
Zranitelnost funkce ochrany soukromí aplikace Telegram v systému macOS, která nastavuje časovač „sebedestrukce“ pro zprávy na zařízeních odesílatele i příjemce, může někomu umožnit tyto zprávy načíst i poté, co byly odstraněny.
Reegun Richard Jayapaul, Trustwave SpiderLabs Lead Threat Architect, objevil chybu ve funkci Self-Destruct aplikace Telegram MacOS, která je součástí aspektu Secret-Chats aplikace pro zasílání zpráv, která využívá šifrování typu end-to-end.
Toto šifrování – klíč, ke kterému nemají přístup ani administrátoři Telegramu – „je určeno pro lidi, kteří se obávají o bezpečnost a soukromí své historie chatu,“ uvedl výzkumník ve svém příspěvku na blogu.
Telegram je obecně obecně považován za jednu z bezpečnějších aplikací pro zasílání zpráv; mnoho uživatelů se rozhodlo přejít z WhatsApp od Facebooku na Telegram, protože se obávají o své soukromí.
Jayapaul spolupracoval s Telegramem na odstranění chyby, která může umožnit narušení soukromí uživatelů prostřednictvím dvou scénářů.
V prvním scénáři může sdílené umístění, video a zvukové zprávy unikat, i když byly zprávy načasovány na samodestrukci na zařízení odesílatele i příjemce, napsal. Ve druhém scénáři mohou tyto stejné zprávy unikat, aniž by příjemce zprávu dokonce otevřel nebo odstranil.
Zatímco však Telegram vyřešil problém vytvářející první scénář, společnost odmítla opravit druhý. Z tohoto důvodu výzkumný pracovník Trustwave odmítl odměnu za chyby od Telegramu, protože „by nám to zabránilo zveřejnit tento výzkum komunitě,“ napsal Jayapaul.
“Cítíme, že odměny za chyby, které vyžadují trvalé mlčení o zranitelnosti, nepomáhají širší komunitě zlepšit jejich bezpečnostní postupy a mohou sloužit k vyvolání otázek o tom, co přesně odměna za chybu kompenzuje – nahlášení zranitelnosti plátci odměny nebo mlčení pro širší komunitu,“ řekl. “To je obzvláště závažné v tomto případě, kdy jeden z nahlášených problémů nebyl vyřešen.”
Více si zde: threatpost.com
@RadekVyskovsky
Zdroj: Chyba systému MacOS v Telegramu načte odstraněné zprávy