Uma brecha na versão do Telegram para macOS permite recuperar mensagens temporárias enviadas com o recurso de “autodestruição”. O problema foi descoberto por Reegun Richard Jayapaul, arquiteto líder da Trustwave SpiderLabs.
Conforme o especialista, uma falha possibilita acessar os conteúdos supostamente excluídos nos dispositivos do remetente e do destinatário. Dessa maneira, a vulnerabilidade podia ser explorada de duas formas.
O Telegram é um forte concorrente do WhatsApp.Fonte: Status Cell/Reprodução
A primeira falha expunha os arquivos de mídia enviados pelo Telegram que estavam armazenados na pasta de cache, mesmo as mensagens de autodestruição. Então, um invasor poderia acessar áudios, vídeos, fotos e outros documentos excluídos.
A segunda vulnerabilidade é a possibilidade de contornar o timer de autodestruição ao pegar o arquivo diretamente da pasta de cache. Nesse caso, o destinatário não precisa abrir a mensagem para que a mídia seja transferida para a pasta.
Embora o Telegram tenha corrigido o primeiro problema, a empresa se recusou a consertar o segundo bug. Então, o especialista desistiu da recompensa e do contrato de confidencialidade por encontrar as brechas e expôs o caso.
“A divulgação é uma parte importante do processo de descoberta e reparação de vulnerabilidades. Por causa do meu compromisso com a segurança da informação, recusei a recompensa em troca de divulgação”, disse Jayapaul.
Telegram reconhece que há formas de contornar as mensagens autodestrutivas.Fonte: Khamosh Pathak/Divulgação
Resposta do Telegram
Em comunicado, o Telegram disse que o recurso de autodestruição é uma forma simples dos usuários enviarem mídias que serão excluídas automaticamente. Entretanto, a funcionalidade está sujeita a falhas.
“Avisamos em nosso FAQ que o recurso deve ser usado apenas com pessoas de confiança, pois não há como o app impedir 100% que alguém salve uma versão do conteúdo, como simplesmente capturar a tela com outro dispositivo”, disse o porta-voz.
Por fim, a empresa reconhece a contribuição dos pesquisadores para a melhora dos recursos de segurança do mensageiro. Tal como, o Telegram está aberto a receber sugestões que podem trazer soluções adicionais.
Fontes
