فشلت ميزة خصوصية تيليجرام في حذف ملفات الفيديو ذاتية التدمير

 

تقدم تيليجرام وضع "الدردشة السرية" الذي يوفر خصوصية أكبر من الدردشات القياسية. عندما تكون في محادثة سرية ، تكون جميع الاتصالات مشفرة من طرف إلى طرف ، ولا يمكنك إعادة توجيه الرسائل إلى مستخدمين آخرين ، ويمكن تهيئة جميع الرسائل والوسائط للتدمير الذاتي تلقائيًا وإزالتها من جميع الأجهزة بعد وقت معين.

ومع ذلك ، أكتشف الباحث الأمني ديراج ميشرا أمس ، ثغرة أمنية في ميزة الدردشة السرية على الإصدار رقم من تيليجرام 7.3 حيث لا يتم حذف وسائط التدمير الذاتي من أجهزة المستلمين. أثناء إجراء تدقيق أمان تيليجرام على نظام macOS ، اكتشف ميشرا أن الدردشات القياسية ستسرب مسار وضع الحماية حيث يتم تخزين ملفات الفيديو والصوت المستلمة.

بينما لن يتم تسريب هذا المسار في الدردشات السرية ، إلا أن الوسائط المستلمة ستظل مخزنة في نفس المجلد. اكتشف Dishra أنه عندما تم تدمير الوسائط ذاتيًا وإزالتها من الدردشة ، لا تزال ملفات الوسائط الفعلية يمكن الوصول إليها في مجلد الكمبيوتر.

هذا الخطأ مقلق بشكل خاص للمستخدمين الذين قد يرسلون مقاطع فيديو حساسة للغاية لمستخدمي تيليجرام الآخرين تحت توقع أن يقوم التطبيق بإزالتها تلقائيًا بعد وقت محدد.

لتوضيح هذه المشكلة الأمنية ، قدم ميشرا عرض الفيديو التالي.

بالإضافة إلى مشكلة أمان الدردشة السرية ، اكتشف ميشرا أيضًا ثغرة ثانية في برنامج تيليجرام MacOS. يمكن للمستخدمين تطبيق رمز مرور لفتح التطبيق ، ولكن تم تخزين كلمة المرور هذه في نص عادي في ملف JSON يمكن قراءته من قبل أي شخص لديه وصول إلى الكمبيوتر.

أبلغ Dishra عن هاتين الثغرتين في 26 ديسمبر 2020 ، وقد تم إصلاحهما الآن في Telegram 7.4. لكن المشكلة تنعكس بشكل سيء للغاية على أمان التطبيق بشكل عام.

للإبلاغ عن كلا الخطأين ، تلقى ميشرا مكافأة أمنية قدرها 3000 دولار من تيليجرام.