El investigador de seguridad Dhiraj Mishra encontró una falla de seguridad la versión 7.3 de aplicación para maOS que permitía acceder a los mensajes de audio y video de los chats que se autodestruyen. Estos chats están cifrados de punto a punto y se pueden borrar automáticamente tanto del emisor como del receptor luego del tiempo seleccionado por el usuario.
Sin embargo, esta falla puso en riesgo la seguridad de esos chats ya que se podía acceder al contenido incluso luego de que supuestamente hubiesen caducado. El investigador reportó sus hallazgos a Telegram el 26 de diciembre de 2020 y el servicio resolvió el problema en la versión 7.4 que se lanzó el 29 de enero.
Por otra parte, Mishra también identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en “/ Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata / “, según informa el sitio Hacker News.
Mishra recibió 3.000 euros por informar las dos fallas como parte de su programa de recompensas por errores. Las compañías suelen lanzar este tipo de iniciativas para alentar a que se encuentren errores con el objetivo de optimizar la seguridad de sus productos.
Cabe recordar que, a diferencia de Signal o WhatsApp, las conversaciones en Telegram no están encriptadas de un extremo a otro por default, a menos que los usuarios habiliten los chats secretos, que mantiene los datos cifrados incluso en los servidores de Telegram. Y en este punto hay que destacar que no existe esa opción para los chats grupales, con lo cual no hay alternativa de cifrado punto a punto para chats grupales.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/FAV6XZNDEVAQZJH2KIYX4TW6K4.jpg)
Con el cifrado de punta a punta solo el receptor y el emisor pueden ver el contenido de un mensaje y queda protegido en caso de que sea interceptado en el camino. Esto quiere decir que, aunque pase por un servidor intermediario, la compañía no tendría forma de acceder al contenido del mensaje.
No hay comentarios:
Publicar un comentario