Ένα κρυφό ελάττωμα στην υπηρεσία ασφαλών μηνυμάτων του Telegram θα μπορούσε να εκθέσει τους κωδικούς πρόσβασης των χρηστών, ανακάλυψε ένας ερευνητής. Η υπηρεσία μπορεί επίσης να εκθέσει αρχεία πολυμέσων από μηνύματα αυτοκαταστροφής.
Ο Dhiraj Mishra, σύμβουλος ασφαλείας που εργάζεται στο Ντουμπάι, αποκάλυψε χθες (11 Φεβρουαρίου) σε μια δημοσίευση ιστολογίου ότι ο υπολογιστής-πελάτης Mac για το Telegram διατήρησε επ ‘αόριστον αρχεία ήχου και βίντεο από μηνύματα αυτοκαταστροφικού.
Έκανε κάτι περισσότερο και διαπίστωσε ότι ο πελάτης Mac Telegram αποθηκεύτηκε επίσης κωδικούς πρόσβασης χρηστών σε απλό κείμενο. Κανένα από αυτά τα σφάλματα δεν είναι καλό. Το κακόβουλο λογισμικό ή ένας έξυπνος εισβολέας θα μπορούσε να βρει και τα δύο σύνολα αρχείων.
“Το Telegram αποτυγχάνει και πάλι όσον αφορά τον χειρισμό των δεδομένων του χρήστη”, έγραψε ο Mishra στην ανάρτηση του στο blog του, με σαρκαστικό τίτλο “Το” P “στο Telegram Stands for Privacy.
Οι κωδικοί πρόσβασης γράφτηκαν σε απλό κείμενο στα μεταδεδομένα Telegram του χρήστη, όπου θα μπορούσαν επίσης να είχαν βρεθεί από εισβολείς.
Ο Mishra είπε στον Bleeping Computer ότι ανέφερε τα ελαττώματα στο Telegram τον Δεκέμβριο και έλαβε ένα bug bounty 3.000 ευρώ για το πρόβλημα του.
Το Telegram διόρθωσε και τα δύο ελαττώματα με την ενημέρωση 7,4 στα τέλη Ιανουαρίου. Εάν χρησιμοποιείτε το Telegram σε Mac, βεβαιωθείτε ότι το λογισμικό του πελάτη σας είναι ενημερωμένο.
Το Telegram σημείωσε πρόσφατα μια άνοδο στους νέους χρήστες, αφού μια αλλαγή των δικαιωμάτων απορρήτου στο WhatsApp προκάλεσε έξοδο από την υπηρεσία που ανήκει στο Facebook.
Πολλοί επαγγελματίες ασφαλείας δεν είναι πεπεισμένοι ότι το Telegram είναι πολύ ασφαλές στη χρήση για εξαιρετικά ευαίσθητες επικοινωνίες. Αντ ‘αυτού προτείνουν την υπηρεσία Signal, η οποία χρησιμοποιεί την ίδια κρυπτογράφηση με το WhatsApp.