0
0
O aplicativo de mensagens criptografadas Telegram lançou a versão 5.11 de seu cliente móvel para corrigir um grave erro de privacidade que permitia ao destinatário visualizar imagens ou arquivos mesmo depois de serem excluídos pelo remetente. Como esse aplicativo possui mais de 100 milhões de downloads somente da Google Play Store, isso pode ser uma violação de privacidade importante para muitos usuários.
Em março, o Telegram lançou um novo recurso que permite ao remetente excluir uma mensagem enviada e removê-la de todos os dispositivos do destinatário. Isso foi adicionado como uma camada extra de privacidade no caso de um arquivo, imagem ou mensagem ser enviada por acidente ou o remetente decidir depois que eles queriam que ela fosse removida.
Excluir do usuário
Enquanto pesquisava o protocolo MTProto do Telegram, o pesquisador de segurança Dhiraj Mishra descobriu um bug no Telegram relacionado ao recurso de exclusão de mensagens.
Ele percebeu que quando um remetente excluía uma mensagem, imagem ou arquivo do Telegram, ele era removido da conversa do remetente e do destinatário, mas ainda residia localmente no dispositivo. Para usuários do Android, isso permitiria que um destinatário ainda pudesse visualizar a mídia excluída no caminho / Telegram / Telegram Images /.
Esse bug não afeta apenas a exclusão da mídia de conversas individuais, mas também ao enviar arquivos para um supergrupo Telegram. Isso significa que, se um usuário enviou um arquivo por engano ao grupo e o excluiu, achando que não seria mais acessível, na realidade, todos os membros do grupo poderiam acessar o arquivo no sistema de arquivos do dispositivo.
“A questão destacada é válida quando falamos também de” supergrupos “do Telegram, suponha um caso em que você faça parte de um grupo com 2.000,00 membros e compartilhe acidentalmente um arquivo de mídia que não deve ser compartilhado nesse grupo específico e prossiga para excluir, marcando “excluir para todos os membros” presentes no grupo “, afirmou Mishra em sua redação. “Você está confiando em uma funcionalidade que está quebrada, pois seu arquivo ainda estaria presente no armazenamento para todos os usuários.”
Para ilustrar como esse bug funcionou, Mishra criou uma demonstração em vídeo do YouTube, que pode ser assistida abaixo.
Mishra só conseguiu testar esse bug no Android, mas supõe que ele existisse também nas versões desktop e iOS.
Depois de relatar o bug, o Telegram concedeu ao pesquisador uma recompensa de € 2.500. Este bug foi corrigido na versão 5.11, lançada hoje para Android e iOS.
É altamente recomendável que os usuários instalem esta atualização para corrigir o bug, mas Mishra nos disse que esta versão provavelmente apenas corrige o bug. Isso significa que qualquer mídia excluída anteriormente que não foi excluída corretamente na versão anterior ainda estará disponível no dispositivo de um destinatário.
O BleepingComputer entrou em contato com o Telegram para confirmar quais clientes foram afetados e atualizará o artigo quando recebermos resposta.