Telegram saltó a una gran popularidad a la luz de WhatsApp y la debacle de su política de privacidad. Junto a Signal, Telegram ha sido aclamado como una de las alternativas más seguras a la mensajería diaria. Sin embargo, una actualización reciente ha revelado que es posible que Telegram no haya sido tan privado y seguro como se facturaba. Informado por News18, el investigador de seguridad Dhiraj Mishra supuestamente reveló que Telegram para macOS tenía una falla de privacidad clave que almacenaba el contenido de los mensajes que desaparecían de su función de chat secreto, localmente en los dispositivos de los usuarios. Junto con esta brecha, Telegram también fue detectado almacenando contraseñas de dispositivos locales en texto sin formato, lo que marca dos fallas de seguridad importantes que la aplicación Mac del servicio tenía hasta ahora. Las fallas ahora se han corregido en la nueva versión 7.4 de la aplicación Telegram para Mac, confirmó Mishra a News18.
Según el informe, la función Secret Chat, que es el modo de conversación encriptada de la aplicación, tiene un modo de mensajes autodestructivos, donde los usuarios pueden compartir audio, video e imágenes que desaparecen automáticamente después de 20 segundos. Sin embargo, Mishra descubrió que cuando el contenido se comparte en el modo estándar no cifrado, la aplicación deja un rastro, mediante el cual los usuarios pueden encontrar la carpeta de destino donde se guardan los archivos multimedia. En el modo de chat secreto, mientras que Telegram enmascara la ruta de la carpeta donde se guarda el contenido, la carpeta de destino sigue siendo la misma que cuando se trata de archivos que desaparecen. Además de eso, los medios compartidos en el modo de chat que desaparece no se eliminan del almacenamiento local, incluso después de que el contenido desaparece de la ventana de chat.
Con esta falla, cualquier usuario con una intención específica podría potencialmente encontrar contenido que se compartió por períodos temporales y usarlo indebidamente a largo plazo, explotando así la privacidad del usuario. Mishra transmitió la vulnerabilidad a través del programa de recompensas por errores de Telegram, quien reconoció la falla y certificó a Mishra con una recompensa de 2.000 euros. Telegram también reconoció la falla en la que las contraseñas locales se almacenaban en texto sin formato y pagó una recompensa adicional de EUR 1,000 por las mismas.
El incidente se refleja en el alcance general de las fallas de seguridad cibernética que se detectan en todas las aplicaciones en la actualidad. La naturaleza de estas fallas va desde exponer directorios de almacenamiento (como el que sucedió aquí), así como errores de día cero y sin parches que permiten la ejecución remota de código y la escalada de privilegios en los sistemas.
Gracias por leer hasta el final de este artículo. Para obtener más contenido tecnológico informativo y exclusivo, como nuestra página de Facebook
