El investigador rechaza la recompensa de Telegram y revela errores en la eliminación automática


El investigador rechaza la recompensa de Telegram y revela errores en la eliminación automática

Telegram reparó otro error autodestructivo en su aplicación a principios de este año. Este error fue un problema diferente al informado en 2019. Pero el investigador que informó el error no está contento con los meses de recuperación de Telegram, y una recompensa ofrecida de $ 1,159 a cambio de su silencio.

Las imágenes autodestruidas permanecieron en el dispositivo.

Al igual que otras aplicaciones de mensajería, Telegram permite a los remitentes configurar las comunicaciones para que se «autodestruyan» para que los mensajes y todos los archivos adjuntos de medios se eliminen automáticamente del dispositivo después de un cierto período de tiempo. Esta característica proporciona una mayor privacidad tanto para los remitentes como para los destinatarios que deseen comunicarse de forma discreta.

En febrero de 2021, la versión 2.6 de Telegram introdujo una serie de funciones de este tipo para la eliminación automática:

  • Configure los mensajes para que se eliminen automáticamente para todos 24 horas o 7 días después de que se hayan enviado
  • Controla la configuración para el borrado automático en todos tus chats así como en los grupos y canales en los que eres el administrador
  • Para habilitar la eliminación automática, haga clic con el botón derecho en el chat en la lista de chat> Borrar historial> Habilitar eliminación automática

Pero en unos días, el investigador monónimo Dmitrii descubrió una falla preocupante en la implementación de la autodestrucción de la aplicación Telegram para Android.

Dado que cualquier autodestrucción lleva al menos 24 horas, las pruebas de Dmitrii duraron unos días.

«Después de solo unos días … con diligencia logré lo que estaba buscando: los mensajes que se suponía que debían ser eliminados automáticamente por los participantes en los chats grupales privados y privados solo se» eliminaban «visualmente. [in the messaging window], pero en realidad los mensajes con imágenes permanecieron en el dispositivo [in] el caché «, escribió el investigador en una publicación de blog con una traducción aproximada publicada la semana pasada.

Al rastrear CVE-2021-41861, el error es bastante sencillo. En las versiones 7.5.0 a 7.8.0 de la aplicación Telegram para Android, las imágenes autodestruidas permanecen en el dispositivo en el /Storage/Emulated/0/Telegram/Telegram Image Directorio después de aproximadamente dos a cuatro usos de la función de autodestrucción. Pero la interfaz de usuario parece indicarle al usuario que el medio se destruyó correctamente.

Telegram exige «confidencialidad» a cambio de una recompensa

Pero por un simple error como este no fue fácil llamar la atención de Telegram, explicó Dmitrii. El investigador se puso en contacto con Telegram a principios de marzo. Y después de una serie de correos electrónicos de un mes de duración y correspondencia de texto entre el investigador y Telegram, la compañía se acercó a Dmitrii en septiembre, finalmente confirmó la existencia del error y trabajó con el investigador durante las pruebas beta. Por sus esfuerzos, a Dmitrii se le ofreció una recompensa por error de $ 1,159 (€ 1,000).

Aunque muchas empresas con programas de recompensas por errores ofrecen recompensas económicas a los piratas informáticos éticos que identifican y notifican vulnerabilidades de manera responsable, la divulgación de vulnerabilidades generalmente se permite después de un período acordado de 60 o 90 días.

«Después de estudiar el contrato enviado por correo electrónico por un representante de Telegram, indiqué que Telegram requería [me] No revelar detalles de la colaboración / detalles técnicos por defecto sin su consentimiento por escrito «, escribió Dmitrii, refiriéndose al acuerdo de ocho páginas que la empresa puso a disposición del investigador.

Acuerdo de recompensa de recompensa por errores de Telegram.

Desde entonces, el investigador ha afirmado que fue perseguido por Telegram, que no dio respuesta ni recompensa. «No recibí la recompensa prometida de Telegram en 1.000 euros u otro», escribió.

Curiosamente, en 2019, otro investigador informó un error separado que también se relaciona con la función de autodestrucción y recibió una prima por error más alta: una recompensa de $ 2,897 en lugar de $ 1,159 miserables.

El programa de informes de vulnerabilidades de Telegram, administrado por HackerOne, tampoco está claro sobre el protocolo de divulgación responsable de la compañía. El documento contiene además enlaces a una sección de preguntas frecuentes que menciona «recompensas» y «concursos de craqueo» organizados por Telegram, pero no hay nada sobre si se pueden exponer problemas de seguridad o cuándo.

La última versión de la aplicación Telegram para Android, lanzada el 22 de septiembre, es desde la perspectiva de Ars v8.1.2 en Google Play Store, aunque el error reportado probablemente fue parcheado en una versión anterior. Independientemente, los usuarios de Telegram deben actualizar su aplicación a la última versión para actualizaciones de seguridad actuales y futuras.

Ars le pidió a Telegram un comentario por adelantado y estamos esperando la respuesta de la compañía.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *