Telegram parcha una vulnerabilidad que permitía el acceso a los mensajes auto-destruidos del “chat secreto”

La aplicación de mensajería Telegram ha parchado una vulnerabilidad que hacía posible acceder a mensajes que se supone que habían sido autodestruidos, y otra falla que permitía que se almacenaran en texto simple las contraseñas de acceso a la aplicación.

Las conversaciones de Telegram no son cifradas de extremo a extremo por defecto como las de Signal o WhatsApp. Para activar esta medida de protección, el usuario debe activar el “chat secreto”. Parte de esta funcionalidad es la opción de programar la autodestrucción de los mensajes que se envían, como medida adicional de protección de la privacidad de las comunicaciones.

Pero el investigador de seguridad Dhiraj Mishra descubrió una vulnerabilidad en la versión 7.3 para MacOS de la aplicación que evitaba que los mensajes secretos se autodestruyeran.

Cuando un usuario grababa y enviaba un mensaje de audio o video en un chat regular, la aplicación filtraba la ruta exacta donde se había almacenado el mensaje en formato mp4. Con el chat secreto activado esta ruta no se mostraba, pero los mensajes se almacenaban en la misma ubicación, por lo que podía deducirse dónde se encontraban.

Pero esto no es todo: cuando los mensajes programados para autodestruirse se eliminaban del chat, los archivos seguían disponibles en la carpeta de la computadora. Por lo tanto, un atacante podría conseguir el acceso a los mensajes almacenados en formato mp4 que hayan sido enviados en un chat secreto, aún después de que la conversación haya desaparecido de su pantalla. El investigador publicó un video con la Prueba de Concepto que describe en profundidad esta vulnerabilidad.

Dhiraj Mishra también descubrió otra importante falla de seguridad en la aplicación: sus investigaciones revelaron que Telegram estaba almacenando las contraseñas para desbloquear la aplicación en texto simple, en el dispositivo del usuario. Esto significa que las contraseñas no tenían ningún tipo de cifrado ni protección adicional, lo que las ponía en riesgo de ser expuestas a personas que tengan acceso al dispositivo.

Mishra informó a Telegram sobre las vulnerabilidades en diciembre de 2018, y la compañía las parchó el 30 de enero en la versión 7.4 de la aplicación. Además, el investigador recibió una recompensa de 3.000 dólares por denunciar la vulnerabilidad de manera responsable.

Fuentes

Telegram ‘Secret Chat’ didn’t delete self-destructing media files Bleeping Computer
Secret Chat in Telegram Left Self-Destructing Media Files On Devices The Hacker News
Telegram for macOS failed to self-destruct messages on local devices The Daily Swig