News

Telegram parcha una vulnerabilidad que permitía el acceso a los mensajes auto-destruidos del “chat secreto”

La aplicación de mensajería Telegram ha parchado una vulnerabilidad que hacía posible acceder a mensajes que se supone que habían sido autodestruidos, y otra falla que permitía que se almacenaran en texto simple las contraseñas de acceso a la aplicación.

Las conversaciones de Telegram no son cifradas de extremo a extremo por defecto como las de Signal o WhatsApp. Para activar esta medida de protección, el usuario debe activar el “chat secreto”. Parte de esta funcionalidad es la opción de programar la autodestrucción de los mensajes que se envían, como medida adicional de protección de la privacidad de las comunicaciones.

Pero el investigador de seguridad Dhiraj Mishra descubrió una vulnerabilidad en la versión 7.3 para MacOS de la aplicación que evitaba que los mensajes secretos se autodestruyeran.

Cuando un usuario grababa y enviaba un mensaje de audio o video en un chat regular, la aplicación filtraba la ruta exacta donde se había almacenado el mensaje en formato mp4. Con el chat secreto activado esta ruta no se mostraba, pero los mensajes se almacenaban en la misma ubicación, por lo que podía deducirse dónde se encontraban.

Pero esto no es todo: cuando los mensajes programados para autodestruirse se eliminaban del chat, los archivos seguían disponibles en la carpeta de la computadora. Por lo tanto, un atacante podría conseguir el acceso a los mensajes almacenados en formato mp4 que hayan sido enviados en un chat secreto, aún después de que la conversación haya desaparecido de su pantalla. El investigador publicó un video con la Prueba de Concepto que describe en profundidad esta vulnerabilidad.

Dhiraj Mishra también descubrió otra importante falla de seguridad en la aplicación: sus investigaciones revelaron que Telegram estaba almacenando las contraseñas para desbloquear la aplicación en texto simple, en el dispositivo del usuario. Esto significa que las contraseñas no tenían ningún tipo de cifrado ni protección adicional, lo que las ponía en riesgo de ser expuestas a personas que tengan acceso al dispositivo.

Mishra informó a Telegram sobre las vulnerabilidades en diciembre de 2018, y la compañía las parchó el 30 de enero en la versión 7.4 de la aplicación. Además, el investigador recibió una recompensa de 3.000 dólares por denunciar la vulnerabilidad de manera responsable.

Fuentes

Telegram ‘Secret Chat’ didn’t delete self-destructing media files Bleeping Computer
Secret Chat in Telegram Left Self-Destructing Media Files On Devices The Hacker News
Telegram for macOS failed to self-destruct messages on local devices The Daily Swig

Telegram parcha una vulnerabilidad que permitía el acceso a los mensajes auto-destruidos del “chat secreto”

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada