Telegram: bug no macOS permitia recuperar mensagens temporárias

1 min de leitura
Imagem de: Telegram: bug no macOS permitia recuperar mensagens temporárias
Imagem: Getty Images/Reprodução
Avatar do autor

Uma brecha na versão do Telegram para macOS permite recuperar mensagens temporárias enviadas com o recurso de “autodestruição”. O problema foi descoberto por Reegun Richard Jayapaul, arquiteto líder da Trustwave SpiderLabs.

Conforme o especialista, uma falha possibilita acessar os conteúdos supostamente excluídos nos dispositivos do remetente e do destinatário. Dessa maneira, a vulnerabilidade podia ser explorada de duas formas.

O Telegram é um forte concorrente do WhatsApp.O Telegram é um forte concorrente do WhatsApp.Fonte:  Status Cell/Reprodução 

A primeira falha expunha os arquivos de mídia enviados pelo Telegram que estavam armazenados na pasta de cache, mesmo as mensagens de autodestruição. Então, um invasor poderia acessar áudios, vídeos, fotos e outros documentos excluídos.

A segunda vulnerabilidade é a possibilidade de contornar o timer de autodestruição ao pegar o arquivo diretamente da pasta de cache. Nesse caso, o destinatário não precisa abrir a mensagem para que a mídia seja transferida para a pasta.

Embora o Telegram tenha corrigido o primeiro problema, a empresa se recusou a consertar o segundo bug. Então, o especialista desistiu da recompensa e do contrato de confidencialidade por encontrar as brechas e expôs o caso.

“A divulgação é uma parte importante do processo de descoberta e reparação de vulnerabilidades. Por causa do meu compromisso com a segurança da informação, recusei a recompensa em troca de divulgação”, disse Jayapaul.

Telegram reconhece que há formas de contornar as mensagens autodestrutivas.Telegram reconhece que há formas de contornar as mensagens autodestrutivas.Fonte:  Khamosh Pathak/Divulgação 

Resposta do Telegram

Em comunicado, o Telegram disse que o recurso de autodestruição é uma forma simples dos usuários enviarem mídias que serão excluídas automaticamente. Entretanto, a funcionalidade está sujeita a falhas.

“Avisamos em nosso FAQ que o recurso deve ser usado apenas com pessoas de confiança, pois não há como o app impedir 100% que alguém salve uma versão do conteúdo, como simplesmente capturar a tela com outro dispositivo”, disse o porta-voz.

Por fim, a empresa reconhece a contribuição dos pesquisadores para a melhora dos recursos de segurança do mensageiro. Tal como, o Telegram está aberto a receber sugestões que podem trazer soluções adicionais.