Heimlicher Chat in Telegram hinterließ selbstzerstörende Mediendateien auf Geräten

  • Die beliebte Messaging-App Telegram hat einen die Privatsphäre gefährdenden Fehler in ihrer macOS-App behoben, der es möglich machte, auf selbstzerstörende Audio- und Videonachrichten zuzugreifen, lange nachdem sie aus geheimen Chats verschwunden waren.

    Die Schwachstelle wurde vom Sicherheitsforscher Dhiraj Mishra in Version 7.3 der App entdeckt, der seine Erkenntnisse am 26. Dezember 2020 an Telegram weitergab. Das Problem wurde inzwischen in Version 7.4 behoben, die am 29. Januar veröffentlicht wurde.

    Im Gegensatz zu Signal oder WhatsApp sind Unterhaltungen auf Telegram standardmäßig nicht Ende-zu-Ende-verschlüsselt, es sei denn, Benutzer entscheiden sich explizit dafür, eine gerätespezifische Funktion namens “geheimer Chat” zu aktivieren, die Daten auch auf Telegram-Servern verschlüsselt hält. Als Teil von geheimen Chats ist auch die Option verfügbar, selbstzerstörende Nachrichten zu senden.

    [Blocked Image: https://thehackernews.com/images/-yilOv0DP7Dk/YArTHpth-PI/AAAAAAAA3iA/g7VKaLpC19QwAPWO3mfVUdwlEU1_TTgQgCLcBGAsYHQ/s728-e100/pwned-password-728.jpg]

    Mishra fand heraus, dass, wenn ein Benutzer eine Audio- oder Videonachricht über einen regulären Chat aufnimmt und sendet, die Anwendung den genauen Pfad durchsickern lässt, in dem die aufgenommene Nachricht im “.mp4”-Format gespeichert ist. Wenn die Option für den geheimen Chat aktiviert ist, werden die Pfadinformationen nicht weitergegeben, aber die aufgezeichnete Nachricht wird immer noch am selben Ort gespeichert.

    Darüber hinaus bleibt die Multimedianachricht auch in Fällen, in denen ein Benutzer eine sich selbst zerstörende Nachricht in einem geheimen Chat erhält, auf dem System zugänglich, selbst nachdem die Nachricht vom Chat-Bildschirm der App verschwunden ist.

    “Telegram sagt, dass ‘super geheime’ Chats keine Spuren hinterlassen, aber es speichert die lokale Kopie solcher Nachrichten unter einem benutzerdefinierten Pfad,” Mishra sagte The Hacker News.

    Unabhängig davon identifizierte Mishra auch eine zweite Schwachstelle in der macOS-App von Telegram, die lokale Passwörter im Klartext in einer JSON-Datei speichert, die sich unter “/Users/<user_name>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/.”

    Mishra wurde für das Melden der beiden Fehler im Rahmen des Bug Bounty-Programms mit 3.000 Euro belohnt.

    Telegram erreichte im Januar den Meilenstein von 500 Millionen aktiven monatlichen Nutzern, zum Teil angeführt von einer Welle von Nutzern, die nach einer Überarbeitung der Datenschutzrichtlinien von WhatsApp geflohen sind, die das Teilen bestimmter Daten mit der Konzernmutter Facebook beinhaltet.

    Während der Dienst eine Client-Server/Server-Client-Verschlüsselung bietet (unter Verwendung eines proprietären Protokolls namens “MTProto”) und auch, wenn die Nachrichten in der Telegram-Cloud gespeichert werden, sollte man bedenken, dass Gruppenchats keine Ende-zu-Ende-Verschlüsselung bieten und dass alle Standard-Chatverläufe auf den Servern gespeichert werden. Dies dient dazu, Unterhaltungen geräteübergreifend leicht zugänglich zu machen.

    “Also, wenn Sie auf Telegram sind und wollen eine wirklich private Gruppe Chat, Sie haben Pech,” Raphael Mimoun, Gründer der digitalen Sicherheit Non-Profit Horizontal, sagte letzten Monat.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com