Telegram privacy feature failed to delete self-destructing video files
قام Telegram بإصلاح مشكلة أمنية حيث لم يتم حذف ملفات الصوت والفيديو ذاتية التدمير من أجهزة macOS الخاصة بالمستخدم كما هو متوقع.
تقدم Telegram وضع "الدردشة السرية Secret Chat" الذي يوفر خصوصية أكبر من الدردشات القياسية.
عندما تكون في محادثة سرية، تكون جميع الاتصالات مشفرة من طرف إلى طرف، ولا يمكنك إعادة توجيه الرسائل إلى مستخدمين آخرين، ويمكن تهيئة جميع الرسائل والوسائط للتدمير الذاتي تلقائيًا وإزالتها من جميع الأجهزة بعد مبلغ معين من الوقت.
قال الباحث الأمني Dhiraj Mishra لـ BleepingComputer أمس، إنه اكتشف ثغرة أمنية في ميزة الدردشة السرية على Telegram 7.3 حيث لا يتم حذف وسائط التدمير الذاتي من أجهزة المستلمين.
أثناء إجراء تدقيق أمان Telegram على macOS، اكتشف Mishra أن الدردشات القياسية ستسرب مسار وضع الحماية حيث يتم تخزين ملفات الفيديو والصوت المستلمة.
تقدم Telegram وضع "الدردشة السرية Secret Chat" الذي يوفر خصوصية أكبر من الدردشات القياسية.
عندما تكون في محادثة سرية، تكون جميع الاتصالات مشفرة من طرف إلى طرف، ولا يمكنك إعادة توجيه الرسائل إلى مستخدمين آخرين، ويمكن تهيئة جميع الرسائل والوسائط للتدمير الذاتي تلقائيًا وإزالتها من جميع الأجهزة بعد مبلغ معين من الوقت.
قال الباحث الأمني Dhiraj Mishra لـ BleepingComputer أمس، إنه اكتشف ثغرة أمنية في ميزة الدردشة السرية على Telegram 7.3 حيث لا يتم حذف وسائط التدمير الذاتي من أجهزة المستلمين.
أثناء إجراء تدقيق أمان Telegram على macOS، اكتشف Mishra أن الدردشات القياسية ستسرب مسار وضع الحماية حيث يتم تخزين ملفات الفيديو والصوت المستلمة.
بينما لن يتم تسريب هذا المسار في الدردشات السرية، إلا أن الوسائط المستلمة ستظل مخزنة في نفس المجلد.
أوضح Mishra في تقرير عن الثغرة الأمنية: "في حالتي، كان المسار هو (/var/folder/x7/khjtxvbn0lzgjyy9xzc18z100000gn/T/). أثناء إجراء نفس المهمة ضمن خيار الدردشة السرية، لم يتم تسريب عنوان MediaResourceData (Path://) URI ولكن رسالة الصوت / الفيديو المسجلة لا تزال يتم تخزينه على المسار أعلاه".
اكتشف Mishra أنه عندما تم تدمير الوسائط ذاتيًا وإزالتها من الدردشة، لا تزال ملفات الوسائط الفعلية قابلة للوصول في مجلد الكمبيوتر.
"Bob مهاجم يستخدم tdesktop macOS و Alice (Victim) يتواصلان بموجب خيار الدردشة السرية وترسل Alice رسالة صوتية/ فيديو مسجلة إلى Bob باستخدام مؤقت التدمير الذاتي لمدة 20 ثانية".
يشرح Mishra في سيناريو هجوم مشترك مع BleepingComputer: "ومع ذلك، يتم حذف الرسالة المسجلة من الدردشة بعد 20 ثانية ولكنها لا تزال تحت المسار المخصص لـ Bob، وهنا يفشل Telegram في منع خصوصية Alice. بشكل عام، فشلت وظيفة التدمير الذاتي وعدم ترك أي آثار".
هذا الخطأ مقلق بشكل خاص للمستخدمين الذين قد يرسلون مقاطع فيديو حساسة للغاية لمستخدمي Telgrams الآخرين تحت توقع أن يقوم التطبيق بإزالتها تلقائيًا بعد وقت محدد.
لتوضيح هذه المشكلة الأمنية، قدم Mishra عرض الفيديو التالي:
أوضح Mishra في تقرير عن الثغرة الأمنية: "في حالتي، كان المسار هو (/var/folder/x7/khjtxvbn0lzgjyy9xzc18z100000gn/T/). أثناء إجراء نفس المهمة ضمن خيار الدردشة السرية، لم يتم تسريب عنوان MediaResourceData (Path://) URI ولكن رسالة الصوت / الفيديو المسجلة لا تزال يتم تخزينه على المسار أعلاه".
اكتشف Mishra أنه عندما تم تدمير الوسائط ذاتيًا وإزالتها من الدردشة، لا تزال ملفات الوسائط الفعلية قابلة للوصول في مجلد الكمبيوتر.
"Bob مهاجم يستخدم tdesktop macOS و Alice (Victim) يتواصلان بموجب خيار الدردشة السرية وترسل Alice رسالة صوتية/ فيديو مسجلة إلى Bob باستخدام مؤقت التدمير الذاتي لمدة 20 ثانية".
يشرح Mishra في سيناريو هجوم مشترك مع BleepingComputer: "ومع ذلك، يتم حذف الرسالة المسجلة من الدردشة بعد 20 ثانية ولكنها لا تزال تحت المسار المخصص لـ Bob، وهنا يفشل Telegram في منع خصوصية Alice. بشكل عام، فشلت وظيفة التدمير الذاتي وعدم ترك أي آثار".
هذا الخطأ مقلق بشكل خاص للمستخدمين الذين قد يرسلون مقاطع فيديو حساسة للغاية لمستخدمي Telgrams الآخرين تحت توقع أن يقوم التطبيق بإزالتها تلقائيًا بعد وقت محدد.
لتوضيح هذه المشكلة الأمنية، قدم Mishra عرض الفيديو التالي:
حفظ رمز المرور في نص عادي Passcode saved in plain text
بالإضافة إلى مشكلة أمان الدردشة السرية، Mishra ميشرا أن Telegram كان يخزن رموز المرور المحلية للمستخدم لإلغاء قفل التطبيق بنص عادي على الجهاز. تم حفظ رموز مرور النص العادي كملف JSON في:
بالإضافة إلى مشكلة أمان الدردشة السرية، Mishra ميشرا أن Telegram كان يخزن رموز المرور المحلية للمستخدم لإلغاء قفل التطبيق بنص عادي على الجهاز. تم حفظ رموز مرور النص العادي كملف JSON في:
Users/[username]/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata
أبلغ Mishra عن هاتين الثغرتين في 26 ديسمبر 2020، وقد تم إصلاحهما الآن في Telegram 7.4. وللإبلاغ عن كلا الخطأين، تلقى Mishra مكافأة أمنية قدرها 3000 دولار من Telegram.