Telegram werd enorm populair in het licht van WhatsApp en zijn privacybeleiddebacle. Naast Signal wordt Telegram geprezen als een van de veiligste alternatieven voor alledaagse berichten. Een recente update heeft echter onthuld dat Telegram mogelijk niet zo privé en veilig was als werd gefactureerd. Volgens News18 onthulde beveiligingsonderzoeker Dhiraj Mishra naar verluidt dat Telegram voor macOS een belangrijke privacyfout had die de inhoud van berichten die uit de geheime chatfunctie verdwenen, lokaal op de apparaten van gebruikers opsloeg. Naast deze inbreuk werd Telegram ook betrapt op het opslaan van wachtwoorden voor lokale apparaten in platte tekst, wat twee grote beveiligingsfouten markeerde die de Mac-app van de dienst tot dusver had. De glitches zijn nu verholpen in de nieuwe versie 7.4 van de Telegram-app voor Mac, bevestigt Mishra aan News18.
Volgens het rapport heeft de Secret Chat-functie, de versleutelde gespreksmodus van de app, een zelfvernietigende berichtmodus, waarin gebruikers audio, video en afbeeldingen kunnen delen die automatisch verdwijnen na 20 seconden. Mishra ontdekte echter dat wanneer inhoud wordt gedeeld in de standaard niet-versleutelde modus, de app een spoor achterlaat waarmee gebruikers de doelmap kunnen vinden waar mediabestanden worden opgeslagen. In de geheime chatmodus, terwijl Telegram het mappad maskeert waar de inhoud is opgeslagen, blijft de doelmap hetzelfde als wanneer het gaat om verdwijnende bestanden. Bovendien worden media die in de verdwijnende chatmodus worden gedeeld, niet verwijderd uit de lokale opslag, zelfs niet nadat de inhoud uit het chatvenster is verdwenen.
Met deze fout kan elke gebruiker met een specifieke bedoeling inhoud vinden die voor tijdelijke perioden is gedeeld en deze op de lange termijn misbruiken, waardoor de privacy van de gebruiker wordt misbruikt. Mishra gaf de kwetsbaarheid door via het bug bounty-programma van Telegram, dat de fout erkende en Mishra certificeerde met een premie van € 2.000. Telegram erkende ook de fout waarbij lokale wachtwoorden in platte tekst werden opgeslagen en betaalde er een extra premie van € 1.000 voor.
Het incident wordt weerspiegeld in de algemene omvang van cyberbeveiligingsfouten die tegenwoordig in alle applicaties worden gedetecteerd. De aard van deze fouten varieert van het blootleggen van opslagmappen (zoals degene die hier is gebeurd), evenals zero-day en niet-gepatchte bugs die uitvoering van externe code en escalatie van bevoegdheden op systemen mogelijk maken.
Bedankt voor het lezen tot het einde van dit artikel. Voor meer informatieve en exclusieve technische inhoud, zoals onze Facebook-pagina
