Clicky

El chat secreto en Telegram dejaba en los dispositivos archivos multimedia autodestructivos

Chat de Telegram

La aplicación filtró la ruta exacta donde se almacena el mensaje grabado en formato ".mp4"

La popular aplicación de mensajería Telegram solucionó un error que eliminaba la privacidad en su aplicación macOS que hacía posible acceder a mensajes de audio y vídeo autodestructivos mucho después de que desaparecían de los chats secretos.

La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra en la versión 7.3 de la aplicación, quien reveló sus hallazgos a Telegram el 26 de diciembre de 2020. Desde entonces, el problema se resolvió en la versión 7.4, lanzada el 29 de enero.

A diferencia de Signal o WhatsApp, las conversaciones en Telegram por defecto no están encriptadas de un extremo a otro, a menos que los usuarios opten explícitamente por habilitar una función específica del dispositivo llamada "chat secreto", que mantiene los datos encriptados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes autodestructivos.

Lo que descubrió Mishra fue que cuando un usuario graba y envía un mensaje de audio o vídeo a través de un chat regular, la aplicación filtró la ruta exacta donde se almacena el mensaje grabado en formato ".mp4". Con la opción de chat secreto activada, la información de la ruta no se derrama, pero el mensaje grabado aún se almacena en la misma ubicación.

Además, incluso en los casos en que un usuario recibe un mensaje autodestructivo en un chat secreto, el mensaje multimedia permanece accesible en el sistema incluso después de que el mensaje haya desaparecido de la pantalla de chat de la aplicación.

"Telegram dice que los chats 'súper secretos' no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada", dijo Mishra a The Hacker News.

Por separado, Mishra también identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en "/Users/<user_name>/Library/Group Containers/<*>. Ru.keepcoder.Telegram/accounts-metadata/".

Mishra recibió 3.000 € por informar de las dos fallas como parte de su programa de recompensas por errores.

Telegram alcanzó en enero un hito de 500 millones de usuarios activos mensuales, en parte liderado por un aumento en los usuarios que abandonaron WhatsApp luego de una revisión de su política de privacidad que incluye compartir ciertos datos con su empresa matriz, Facebook.

Si bien el servicio ofrece cifrado cliente-servidor/servidor-cliente (utilizando un protocolo propietario llamado "MTProto") y también cuando los mensajes se almacenan en la nube de Telegram, vale la pena tener en cuenta que los chats grupales no ofrecen un servicio de extremo a extremo cifrado y que todos los historiales de chat predeterminados se almacenan en sus servidores. Esto es para que las conversaciones sean fácilmente accesibles en todos los dispositivos.

"Entonces, si estás en Telegram y quieres un chat grupal verdaderamente privado, no tienes suerte", dijo el mes pasado Raphael Mimoun, fundador de la organización sin fines de lucro de seguridad digital Horizontal.

Jesus_Caceres