安全研究人员发现了一种绕过流行聊天应用程序Telegram 中自毁消息功能的简单方法。
在一篇博客文章中,安全公司 Trustwave 详细介绍了 macOS 版 Telegram 中的两个独立漏洞,这两个漏洞都损害了隐私功能的有效性。
即使在触发自毁过程后,第一个也可以被滥用以检索消息数据(图像,视频消息,录音和共享位置),而后者允许某人访问媒体而无需打开消息并引发自毁计时器。
Telegram 在 macOS 设备上的缓存中存储消息内容的方式使这两种情况成为可能,但其他操作系统不受影响。
电报隐私功能
自毁消息选项包含在 Telegram 加密聊天(Secret Chat )模式中,它为用户提供了端到端加密提供的额外隐私和安全层。这意味着没有第三方可以访问来回发送的消息,包括 Telegram 公司本身。
自毁消息应该更进一步,允许用户设置一个计时器,在此之后消息和相关媒体将从两个设备中删除而不会留下任何痕迹。然而,Trustwave 发现的两个错误似乎可以绕过该功能。
Trustwave 表示,它向 Telegram 报告了这两个安全问题,Telegram 采取了行动来解决其中一个问题,但没有解决另一个问题。在撰写本文时,macOS 版 Telegram 仍可被滥用以访问媒体文件,而无需打开自毁消息。
作为决定不解决第二个问题的理由,Telegram 向研究人员提供了以下声明:
“请注意,自毁计时器的主要目的是作为一种自动删除单个消息的简单方法。但是,有一些方法可以解决 Telegram 应用程序无法控制的问题(例如复制应用程序的文件夹),我们明确警告用户这种情况。”
在其博客文章中,Trustwave 还指出,它被迫拒绝提供漏洞赏金奖励,如果收到该奖励,研究人员将无法向公众披露他们的发现。
首席威胁架构师 Reegun Jayapaul 写道:“漏洞赏金对个人研究人员来说是一种受欢迎的奖励,他们提供相当于安全审计的安全审计,从而产生更好的产品和更安全的用户群。”
“然而,需要对漏洞永久保持沉默的错误赏金并不能帮助更广泛的社区改进他们的安全实践,并且可以用来提出问题,即错误赏金究竟在补偿个人什么——向社区报告漏洞或他们的沉默。”
Telegram 尚未回应对这一批评做出回应。