Telegram (Mac): un bug permet de sauvegarder les messages autodétruits

0

Les chercheurs ont découvert un moyen pour les utilisateurs de Telegram pour Mac de conserver pour toujours des messages d’autodestruction spécifiques ou de les afficher à l’insu de l’expéditeur.

Telegram propose un mode ‘Chat Secret’ (conversation secrète) en option qui augmente la confidentialité des discussions en activant diverses fonctionnalités supplémentaires.

Lorsque vous démarrez une conversation secrète avec un autre utilisateur de Telegram, la connexion deviendra cryptée de bout en bout et tous les messages, pièces jointes et médias seront configurés pour s’autodétruire automatiquement et seront supprimés de tous les appareils après une certaine période.

Cependant, de nouveaux bogues découverts par Reegun Richard Jayapaul, de Trustwave SpiderLabs, permettent aux utilisateurs de Telegram pour Mac de sauvegarder pour toujours les messages et les pièces jointes autodetruites.

Lorsque des fichiers multimédias, autres que des pièces jointes, sont envoyés dans un message, ils sont enregistrés dans un dossier cache situé au chemin suivant, avec les numéros uniques XXXXXX associés à un compte.

/Users/Admin/Library/Group Containers/XXXXXXX.ru.keepcoder.Telegram/appstore/account-1271742300XXXXXX/postbox/media

Telegram ne téléchargera pas les pièces jointes (documents tels que les fichiers texte, doc ou pdf, ainsi que les fichiers audio et vidéo) à moins qu’un destinataire ne tente de les ouvrir. Cela est probablement dû à la plus grande taille des pièces jointes.

Lorsqu’un destinataire lit le message ou visualise le contenu, le minuteur d’autodestruction démarre et une fois terminé, le contenu est automatiquement supprimé.

Cependant, Reegun a découvert que le support autodestructeur n’était pas supprimé du dossier de cache et qu’un utilisateur pouvait l’enregistrer dans un autre emplacement de son disque dur.

Ce bogue a été corrigé par Telegram pour macOS dans la version 7.7 (215786) ou une version ultérieure après avoir été signalé de manière responsable, mais il existe un bogue supplémentaire qui vous permet de sauvegarder des supports autodestructibles.

Copier les supports autodestructeurs non ouverts sur Telegram

Comme les enregistrements vocaux, les messages vidéo, les images ou les partages de position sont automatiquement téléchargés dans le cache, Reegun a découvert qu’un utilisateur pouvait simplement copier le média à partir du dossier du cache avant de le visualiser dans le programme.

« Bob envoie un message multimédia à Alice (qu’il s’agisse d’enregistrements vocaux, de messages vidéo, d’images ou de partage de position). Sans ouvrir le message, car il peut s’autodétruire, Alice va plutôt dans le dossier de cache et récupère le fichier multimédia », explique Reegun dans son rapport.

« Elle peut également supprimer les messages du dossier sans les lire dans l’application. Quoi qu’il en soit, Bob ne saura pas si Alice a lu le message, et Alice conservera une copie permanente du média. »

telegram
Accéder aux médias Telegram non ouverts directement à partir du dossier de cache

Telegram a déclaré à Reegun que ce deuxième bogue ne serait pas corrigé car il n’y a aucun moyen de se protéger contre l’accès direct au dossier de l’application.

« Veuillez noter que l’objectif principal de la minuterie d’autodestruction est de servir de moyen simple pour supprimer automatiquement des messages individuels. Cependant, il existe des moyens de contourner ce problème qui sont en dehors de ce que l’application Telegram contrôle (comme copier le dossier de l’application), et nous avertissons clairement les utilisateurs de telles circonstances : https://telegram.org/faq#q-can-telegram-protect-me-against-everything » – Telegram.

Reegun a déclaré qu’il n’était pas d’accord et que Telegram pourrait corriger le bogue en traitant tous les médias autodestructeurs de la même manière que les pièces jointes et ne pas les télécharger sur le système de fichiers local jusqu’à ce qu’ils soient ouverts.

En Février, le chercheur en sécurité Dhiraj Mishra a découvert une vulnérabilité similaire dans la fonction Chat Secret qui empêchait la suppression des médias autodestructeurs des appareils des destinataires.

« Il s’agit d’un bogue similaire, mais les médias ont été laissés dans un emplacement de fichier entièrement différent. Les découvertes de ce chercheur ont été corrigées dans Telegram v7.4, tandis que les découvertes de notre chercheur n’ont été entièrement corrigées qu’à partir de la v7.7 », a déclaré Karl Sigler, directeur de le recherche en sécurité de Trustwave SpiderLabs. « Il est évident que Telegram a l’habitude de laisser derrière lui ces fichiers multimédias supposés « d’autodestruction ».

Une démonstration du fonctionnement de ce bogue peut être vue dans la vidéo ci-dessous.

Laisser un commentaire