Chyba systému MacOS v Telegramu načte odstraněné zprávy

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Chyba systému MacOS v Telegramu načte odstraněné zprávy

Telegram odmítl opravit scénář, ve kterém lze tuto chybu zneužít, a přiměl výzkumného pracovníka Trustwave, aby odmítl odměnu za chyby a místo toho zveřejnil svá zjištění.

Zranitelnost funkce ochrany soukromí aplikace Telegram v systému macOS, která nastavuje časovač „sebedestrukce“ pro zprávy na zařízeních odesílatele i příjemce, může někomu umožnit tyto zprávy načíst i poté, co byly odstraněny.

Reegun Richard Jayapaul, Trustwave SpiderLabs Lead Threat Architect, objevil chybu ve funkci Self-Destruct aplikace Telegram MacOS, která je součástí aspektu Secret-Chats aplikace pro zasílání zpráv, která využívá šifrování typu end-to-end.

Toto šifrování – klíč, ke kterému nemají přístup ani administrátoři Telegramu – „je určeno pro lidi, kteří se obávají o bezpečnost a soukromí své historie chatu,“ uvedl výzkumník ve svém příspěvku na blogu.

Telegram je obecně obecně považován za jednu z bezpečnějších aplikací pro zasílání zpráv; mnoho uživatelů se rozhodlo přejít z WhatsApp od Facebooku na Telegram, protože se obávají o své soukromí.

Jayapaul spolupracoval s Telegramem na odstranění chyby, která může umožnit narušení soukromí uživatelů prostřednictvím dvou scénářů.

V prvním scénáři může sdílené umístění, video a zvukové zprávy unikat, i když byly zprávy načasovány na samodestrukci na zařízení odesílatele i příjemce, napsal. Ve druhém scénáři mohou tyto stejné zprávy unikat, aniž by příjemce zprávu dokonce otevřel nebo odstranil.

Zatímco však Telegram vyřešil problém vytvářející první scénář, společnost odmítla opravit druhý. Z tohoto důvodu výzkumný pracovník Trustwave odmítl odměnu za chyby od Telegramu, protože „by nám to zabránilo zveřejnit tento výzkum komunitě,“ napsal Jayapaul.

„Cítíme, že odměny za chyby, které vyžadují trvalé mlčení o zranitelnosti, nepomáhají širší komunitě zlepšit jejich bezpečnostní postupy a mohou sloužit k vyvolání otázek o tom, co přesně odměna za chybu kompenzuje – nahlášení zranitelnosti plátci odměny nebo mlčení pro širší komunitu,“ řekl. „To je obzvláště závažné v tomto případě, kdy jeden z nahlášených problémů nebyl vyřešen.“

Více si zde: threatpost.com

@RadekVyskovsky

security

security

INTERPOL během globálního zásahu zneškodnil více než 22 000 škodlivých serverů

INTERPOL oznámil, že v rámci globální operace zlikvidoval více než 22 000 škodlivých serverů spojených s různými kybernetickými hrozbami. Koordinované úsilí, nazvané Operace Synergia II,

ČÍST DÁLE »

Ondřej Beran 19 listopadu, 2024

security

Hackeři z MirrorFace cílí na diplomaty EU pomocí návnady spojené se Světovou výstavou 2025

Aktér napojený na Čínu, známý jako MirrorFace, byl zaznamenán při útoku na diplomatickou organizaci v Evropské unii. Jde o první případ, kdy tato hackerská skupina

ČÍST DÁLE »

Ondřej Beran 18 listopadu, 2024

security

Průvodce hackera k prolomení hesel

Obrana bezpečnosti vaší organizace je jako opevnění hradu – musíte pochopit, kde útočníci zaútočí a jak se pokusí prolomit vaše zdi. Hackeři neustále hledají slabiny,

ČÍST DÁLE »

Ondřej Beran 15 listopadu, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom
IT SECURITY NETWORK NEWS by AVERIA LTD. © 2022 – Osobní údaje – Cookies