Cabecera-v2-web.jpg

Fallos de seguridad en la aplicación Telegram, podrían haber comprometido la privacidad de sus usuarios.


17/02/2021

La popular aplicación de mensajería Telegram solucionó dos fallos que eliminaban la privacidad en su aplicación, que hacía posible acceder a mensajes de audio y video incluso los autodestructivos mucho después de que desaparecieran de los chats secretos, permitiendo a un atacante remoto obtener acceso a la información de chats de la cuenta de la víctima.

A continuación se describen los fallos reportados

  • Chats secretos en Telegram deja archivos multimedia autodestructivos en el dispositivo

Una de las funciones que están disponibles es la posibilidad de enviar mensajes privados que se borran automáticamente una vez que el receptor los recibe, para no dejar constancia de ello. Sin embargo, un experto de seguridad reveló que esto no sucedía, en la versión 7.3 de la aplicación para macOS, donde se pudo recuperar mensajes autodestructivos de audio y video una vez eliminados de los chats secretos.

A diferencia de otras aplicaciones de mensajería, las conversaciones en Telegram por defecto no están encriptadas de un extremo a otro, a menos que los usuarios opten explícitamente por habilitar una función específica del dispositivo llamada "chat secreto", que mantiene los datos encriptados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes autodestructivos.

Los investigadores descubrieron que cuando un usuario graba y envía un mensaje de audio o video a través de un chat regular, la aplicación filtra la ruta exacta donde se almacena el mensaje grabado en formato ".mp4". Con la opción de chat secreto activada, la información de la ruta no se elimina, pero el mensaje grabado aún se almacena en la misma ubicación.

Además, en los casos en que un usuario recibe un mensaje autodestructivo en un chat secreto, el mensaje multimedia permanece accesible en el sistema incluso después de que el mensaje ha desaparecido de la pantalla de chat de la aplicación.

Telegram dice que los chats “súper secretos” no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada. ,

Además se identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en "/ Users / / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata /."

  • Sticker malicioso enviado a través de Telegram podría haber expuesto información de chats, incluyendo mensajes privados, vídeos y fotografías a actores maliciosos remotos.

Los problemas reportados por un equipo de seguridad, afectan a las versiones de la aplicación para iOS, Android y macOS. Tras la divulgación, Telegram los abordó en una serie de parches el 30 de septiembre y el 2 de octubre de 2020.

Estos fallos fueron accesibles durante un tiempo limitado aprovechando otra vulnerabilidad adicional descubierta en los chats secretos del servicio de mensajería. Se originaron en la forma en que opera la funcionalidad de chat secreto y en el manejo de stickers animados por parte de la aplicación, lo que permitiría a los atacantes enviar stickers maliciosos a usuarios desprevenidos y obtener acceso a mensajes, fotos y videos que se intercambiaron con sus contactos de Telegram a través de los chats clásicos y secretos.

Recomendaciones

  • Actualizar la aplicación de mensajería Telegram a la última versión disponible en:
    • Play Store para dispositivos Android.
    • App Store para dispositivos iOS.
    • App Store para dispositivos macOS, actualizar hasta la última versión 7.4.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11