Telegram correcties privacy-breaking bug die gestopt ontvanger van het bericht en de afbeelding verwijderen

0
16

Telegram heeft besloten een privacy probleem dat gedegradeerd van de pijlers van de veiligheid van de firma messaging-toepassing die is gebouwd op — de mogelijkheid om inhoud te verwijderen op afstand van de ontvangende apparaten.

Bug bounty hunter Dhiraj Mishra ontdekt dat er een beveiliging niet in de verwijdering van het bericht-functie, die is bedoeld om gebruikers in staat om berichten te verwijderen uit de ontvanger apparaten in gevallen na verzending, maar in gevallen als gebruikers willen herinneren aan hun berichten en alle bijbehorende inhoud.

Terwijl de inhoud van de tekst van een bericht zal worden verwijderd als de gebruiker gekozen de ‘Verwijderen’ – functie in-Telegram, beelden verzonden zou verblijf in een handset interne opslag langs de ‘/Telegram/Telegram Images/’ pad.

Zie ook: Telnet backdoor kwetsbaarheden impact meer dan een miljoen IoT radio-apparaten

In andere woorden, beelden is verwijderd uit de chat-vensters, maar ze zouden nog steeds toegankelijk als de ontvanger genavigeerd naar het Telegram map Afbeeldingen.

“Stel een scenario waar Bob stuurt een bericht dat wordt een vertrouwelijk beeld en was per ongeluk gestuurd naar Alice, Bob overgaat tot het gebruik van een functie van een Telegram bekend als “verwijder Ook voor Alice” die in feite het bericht te verwijderen voor Alice,” de bug bounty hunter uitgelegd. “Blijkbaar is deze functie werkt niet zoals de bedoeling is, als Alice zou nog kunnen zien van de afbeelding opgeslagen onder” /Telegram/Telegram Images/ map, met de conclusie dat de functie verwijdert alleen het beeld van de chat-venster.”

Een soortgelijke messaging-dienst Facebook-eigendom van WhatsApp, vraagt om dezelfde lezen/schrijven/wijzigen opslag machtigingen als Telegram op installeren en bevat een soortgelijke functie genaamd ‘Verwijderen voor Iedereen die gebruikers in staat stelt om content te verwijderen met inbegrip van berichten en afbeeldingen. Echter, in deze app geval, de media is ook verwijderd uit de opslag op dezelfde tijd.

CNET: Mozilla tests Firefox VPN-service om uw privacy te beschermen

In één-op-één chats, Telegram op de privacy kan niet het einde van de wereld, maar in de ‘supergroep’ chat-sessies met duizenden actieve leden heeft, wat de gevolgen kunnen meer ernstige — vooral als een gebruiker stuurt een gevoelige afbeelding of twee door een ongeval.

“Stel een geval waarin je bent onderdeel van een groep met 2,000,00 leden en u per ongeluk een deel van een media-bestand is niet bedoeld om te worden gedeeld in die specifieke groep en ga naar verwijderen door te controleren of “verwijderen voor alle leden” in de groep aanwezig,” Mishra opmerkingen. “Je afhankelijk bent van een functionaliteit die is gebroken omdat je bestand zou nog steeds aanwezig zijn in de opslagruimte voor alle gebruikers.”

Mishra gecontroleerd op de geldigheid van de bug in het Telegram voor de Android-versie 5.10.0 (1684) en het is mogelijk dat het probleem ook beïnvloed Telegram voor Windows en iOS, maar de tests werden niet uitgevoerd.

Na het indienen van zijn bevindingen aan-Telegram, de messaging-dienst aanvaard het onderzoek en de bijbehorende proof-of-concept (PoC). Een correctie is opgenomen in de nieuwste versie van het Telegram, de versie 5.11.

Mishra werd toegekend bedrag van €2.500 ($2,749) voor het rapport.

TechRepublic: Google hoopt om gebruikers te beschermen met open source differential privacy bibliotheek

In augustus, Check Point onderzoekers bekendgemaakt kwetsbaarheden in de WhatsApp messaging platform die kunnen worden benut om “in wezen woorden in [contact] mond.”

De bugs toegestaan aanvallers onderscheppen en manipuleren van berichten via de service — die wordt beschermd via end-to-end encryptie — alsmede het wijzigen van de identiteit van de afzenders, en voor het verzenden van berichten die gemarkeerd zijn als ‘privé’, maar kan ook gezien worden in het openbaar in een groep te chatten.

Facebook zei dat een van de kwetsbaarheden is opgelost, maar de andere twee waren problematisch als gevolg van de structurele en architecturale beperkingen.

Vorige en aanverwante dekking

Adobe Flash, Application Manager patch update pompoenen kritieke code bugs
WhatsApp kwetsbaarheden ‘woorden in uw mond,’ laat hackers nemen over gesprekken
Europese politie arresteert Donkere Web vervalste munt-handelaren

Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters