Telegram har løst et spørgsmål om privatlivets fred, der forringede de søjler af sikkerhed selskabets messaging-programmet er bygget op på-evnen til at fjerne indhold, der fjernt fra modtager-enheder.
Bug bounty hunter dhiraj lige Mishra har opdaget en ” security failure (via TechCrunch) i meddelelsen sletning funktion, som er beregnet til at give brugerne mulighed for at slette beskeder fra modtager-enheder i de tilfælde, efter at være sendt, men i de tilfælde, hvor brugere, der ønsker at huske deres meddelelser og eventuelle tilknyttede indhold.
Mens teksten indholdet af en besked vil blive fjernet, hvis en bruger har valgt “Også Slette’ funktion i Telegram, alle billeder, der sendes ville bo i en telefons interne lager langs ‘/Telegram/Telegram Images/’ vej.
Se også: Telnet bagdør sårbarheder indflydelse over en million tingenes internet radio enheder
Med andre ord, billeder vil blive slettet fra chat-vinduer, men de vil stadig være tilgængelig, hvis modtageren navigeret til Telegram Billeder mappe.
“Forestil dig en situation, hvor Bob sender en besked, som er en fortrolig billede og fejlagtigt blev sendt til Alice, Bob provenuet til at udnytte en funktion af Telegram kendt som “slet Også for Alice”, som i alt væsentligt vil slette den besked til Alice,” bug bounty hunter forklaret. “Tilsyneladende, er denne funktion ikke fungerer efter hensigten, som Alice ville stadig være i stand til at se det billede, som er lagret under `/Telegram/Telegram Images/` – mappe, og konklusionen er, at funktionen kun sletter billedet fra chat-vinduet.”
En lignende messaging service, Facebook-ejede WhatsApp, beder for de samme læse – /skrive/ændre opbevaring tilladelser som Telegram om at installere og indeholder en lignende funktion, der hedder ‘Slet for Alle’, som giver brugerne mulighed for at fjerne indhold, herunder budskaber og billeder. Men i denne app er tilfældet, medier, er også fjernet fra opbevaring på samme tid.
CNET: Mozilla tests Firefox VPN-tjeneste til at hjælpe med at beskytte dit privatliv
I en-til-en samtaler, Telegram ‘ s privacy fejl er måske ikke verdens ende, men i ‘supergruppe’ chat-sessioner, der kan indeholde tusindvis af aktive medlemmer, konsekvenserne kan være mere alvorlige-især hvis en bruger sender en følsom billede eller to ved et uheld.
“At påtage sig en sag, hvor du er en del af en gruppe med 2,000,00 medlemmer, og du kommer til at dele en mediefil, der er ikke beregnet til at blive delt i en bestemt gruppe, og fortsæt for at slette, ved at markere “slet for alle medlemmer” til stede i den gruppe,” Mishra noter. “Du er afhængig af en funktionalitet, der er brudt, da din fil vil stadig være til stede i opbevaring for alle brugere.”
Mishra kontrolleret gyldigheden af fejl i Telegrammet til Android version 5.10.0 (1684), og det er muligt, at problemet også påvirket Telegram til Windows og iOS, men tests blev ikke udført.
Efter indsendelse af resultater til Telegram, messaging service accepteret forskning og ledsagende proof-of-concept (PoC). En rettelse er blevet medtaget i den seneste version af Telegram, version 5.11.
Mishra blev tildelt €2,500 ($2,749) for rapporten.
TechRepublic: Google håber at beskytte brugere med open source differentieret privatliv bibliotek
I August, Check Point forskere afsløret svagheder i WhatsApp beskeder platform, som kan udnyttes til “det væsentlige at lægge ord i [en kontakt s] munden.”
Den fejl gjorde det muligt for angribere at opfange og manipulere beskeder via tjenesten — som er beskyttet via end-to-end-kryptering, – samt ændre identiteten af afsenderen, og til at sende meddelelser, der er markeret som “privat”, men kunne ses offentligt i en gruppe-chat.
Facebook sagde, at en af de sårbarheder er blevet rettet, men de to andre var problematisk på grund af strukturelle og arkitektoniske begrænsninger.
Tidligere og relaterede dækning
Adobe Flash, Application Manager patch update squash kritiske kode fejl
WhatsApp sårbarheder ‘med at lægge ord i din mund,’ lader hackere overtage samtaler
Det europæiske politi anholdelse Dark Web forfalskede valutahandlere
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre