Telegram: la fonction d’autodestruction n’a pas supprimé les médias

0

Telegram a résolu un problème de sécurité où les fichiers audio et vidéo autodestructeurs n’étaient pas supprimés des appareils macOS de l’utilisateur comme prévu.

Telegram propose un mode « Chat secret » qui offre une confidentialité accrue par rapport aux chats standard.

Lors d’une conversation secrète, les connexions sont toutes chiffrées de bout en bout, vous ne pouvez pas transférer de messages à d’autres utilisateurs, et tous les messages et médias peuvent être configurés pour s’autodétruire automatiquement et être supprimés de tous les appareils après un certain temps.

La semaine dernière, le chercheur en sécurité Dhiraj Mishra a déclaré qu’il avait découvert une vulnérabilité dans la fonction de chat secret sur Telegram 7.3 qui empêchait la suppression des médias autodestructeurs sur les appareils des destinataires.

Lors de la réalisation d’un audit de sécurité de Telegram sur macOS, Mishra a découvert que les chats standard exposaient le chemin du sandbox où les fichiers vidéo et audio reçus sont stockés.

telegram
Telegram exposait le chemin des médias stockés

Bien que ce chemin ne soit pas divulgué dans les conversations secrètes, les médias reçus seraient toujours stockés dans ce même dossier.

« Dans mon cas, le chemin était (/var/folders/x7/khjtxvbn0lzgjyy9xzc18z100000gn/T/). Lors de l’exécution de la même tâche avec l’option de discussion secrète, l’URI MediaResourceData (path://) n’a pas été divulgué mais le message audio/vidéo enregistré était toujours stocké sur le chemin ci-dessus », a expliqué Mishra dans un rapport sur la vulnérabilité.

Dishra a découvert que lorsque le média s’est auto-détruit et a été supprimé du chat, les fichiers multimédias réels étaient toujours accessibles dans le dossier de l’ordinateur.

« Bob (hacker utilisant tdesktop macOS) et Alice (victime) communiquent avec l’option de chat secret et Alice envoient un message audio/vidéo enregistré à Bob avec un minuteur d’autodestruction de 20 secondes. »

«Cependant, le message enregistré est supprimé du chat après 20 secondes mais reste toujours sous le chemin personnalisé de Bob, ici Telegram ne parvient pas à protéger la confidentialité d’Alice. […], la fonctionnalité d’autodestruction qui est sensé ne laisser aucune trace a échoué», explique Mishra dans un scénario d’attaque.

Cette faille est particulièrement préoccupante pour les utilisateurs qui peuvent envoyer des vidéos très sensibles à d’autres utilisateurs de Telegram et qui pensent que l’application les supprimera automatiquement après un temps défini.

Pour illustrer ce problème de sécurité, Mishra a fourni la démonstration vidéo suivante.

Telegram stockait le mot de passe en texte claire

En plus du problème de sécurité du Chat secret, Mishra a découvert que Telegram stockait les codes d’accès locaux de l’utilisateur pour déverrouiller l’application en texte claire sur l’appareil.

Ces codes d’accès en clair ont été enregistrés dans le fichier Users/[nom d’utilisateur]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata sous forme de fichier JSON.

Dishra a signalé ces deux vulnérabilités le 26 décembre 2020 et elles sont désormais corrigées dans Telegram 7.4.

Pour avoir signalé les deux bogues, Mishra a reçu une prime de sécurité de 3000 $ de la part de Telegram.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire