*Telegram corrigiu outro bug de autodestruição de imagens em seu aplicativo no início deste ano.

Como outros aplicativos de mensagens, o Telegram permite que os remetentes definam as comunicações para "autodestruição", de forma que as mensagens e quaisquer anexos de mídia sejam automaticamente excluídos do dispositivo após um determinado período de tempo. Esse recurso oferece privacidade estendida para remetentes e destinatários que pretendem se comunicar discretamente.

Em fevereiro de 2021, o Telegram introduziu um conjunto de recursos de exclusão automática em sua versão 2.6:

  • Defina as mensagens para exclusão automática para todos 24 horas ou 7 dias após o envio
  • Controle as configurações de exclusão automática em qualquer um de seus bate-papos, bem como em grupos e canais em que você é um administrador
  • Para ativar a exclusão automática, clique com o botão direito do mouse na lista de bate-papo> Limpar histórico> Ativar exclusão automática

Mas em poucos dias, o pesquisador monônimo Dmitrii descobriu uma falha preocupante em como o aplicativo Telegram Android implementou a autodestruição.

Como cada instância de autodestruição leva pelo menos 24 horas para ser executada, os testes de Dmitrii duraram alguns dias.

"Depois de apenas alguns dias ... tendo mostrado diligência, consegui o que estava procurando: as mensagens que deveriam ser excluídas automaticamente dos participantes em bate-papos privados e de grupos privados eram apenas 'excluídas' visualmente [na janela de mensagens], mas na realidade, as mensagens de imagem permaneceram no dispositivo [no] cache ", escreveu o pesquisador em uma postagem de blog traduzida aproximadamente,  publicada na semana passada.

Rastreado como CVE-2021-41861, a falha é bastante simples. Nas versões do aplicativo Telegram Android 7.5.0 a 7.8.0, as imagens autodestruídas permanecem no dispositivo no /Storage/Emulated/0/Telegram/Telegram Image diretório após aproximadamente dois a quatro usos do recurso de autodestruição. Mas a IU parece indicar ao usuário que a mídia foi destruída adequadamente.

Telegram solicita "confidencialidade" em troca de uma recompensa generosa

Mas, para um bug simples como esse, não era fácil chamar a atenção do Telegram, explicou Dmitrii. O pesquisador entrou em contato com o Telegram no início de março. E depois de uma série de e-mails e correspondência de texto entre o pesquisador e o Telegram durante meses, a empresa entrou em contato com Dmitrii em setembro, finalmente confirmando a existência do bug e colaborando com o pesquisador durante o teste beta. Por seus esforços, Dmitrii recebeu uma recompensa por bug de € 1.000 ($ 1.159).

Embora muitas empresas com programas de recompensa por bugs ofereçam recompensas monetárias para hackers éticos que identificam e relatam vulnerabilidades de maneira responsável, a divulgação das falhas de segurança normalmente é permitida após um período acordado de 60 ou 90 dias.

"Tendo estudado o contrato enviado por e-mail por um representante do Telegram, chamei a atenção para o fato de que o Telegram exige [que eu] não divulgue quaisquer detalhes de cooperação / detalhes técnicos por omissão sem sua aprovação por escrito", escreveu Dmitrii, referindo-se aos oito paginas enormes  do acordoque a empresa forneceu o pesquisador.

Desde então, o pesquisador afirma ter sido assombrado pelo Telegram, que não deu resposta e nem recompensa. "Não recebi a recompensa prometida do Telegram em € 1.000 ou qualquer outro", escreveu ele.

Curiosamente, em 2019, um bug separado também relacionado ao recurso de autodestruição foi relatado por outro pesquisador que saiu com uma recompensa de bug maior - uma recompensa de € 2.500 ($ 2.897) em vez de míseros € 1.000.

O programa de relatório de vulnerabilidade do Telegram , gerenciado pela HackerOne, também não é claro sobre o protocolo de divulgação responsável da empresa. O documento leva ainda a um FAQ que  menciona  "recompensas" e "Concursos de cracking" organizados pelo Telegram, mas não há nada sobre se ou quando as questões de segurança podem ser divulgadas.

A versão mais recente do aplicativo Telegram Android lançado em 22 de setembro, conforme visto por Ars, é a v8.1.2 na Google Play Store,  embora o bug relatado provavelmente tenha sido corrigido em uma versão anterior. Independentemente disso, os usuários do Telegram devem atualizar seu aplicativo para a versão mais recente para receber atualizações de segurança atuais e futuras.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment