Seleziona una pagina
mercoledì, Feb 17

Telegram, gli adesivi rendevano le chat segrete vulnerabili



Da Wired.it :

Un bug, ora sistemato, degli adesivi animati avrebbe consentito di intrufolarsi anche nelle chat protette da crittografia end-to-end e accedere a foto, video e messaggi

(Photo Illustration by Thomas Trutschel/Photothek via Getty Images)

Un bug dell’applicazione di Telegram avrebbe potuto consentire ad attaccanti di accedere a messaggi, foto e video scambiati tramite chat segrete.La falla dell’app di messaggistica istantanea è stata segnalata dagli esperti di cybersecurity di Shielder che hanno individuato il difetto nelle versioni di Telegram per iOs, Android e MacOs. Secondo gli esperti il semplice invio di un adesivo animato a un utente di Telegram avrebbe potuto esporre tutto quello che succedeva nelle chat segrete che, sull’applicazione, sono le uniche a essere realmente criptate end-to-end.

Gli adesivi animati sono stati introdotti su Telegram nel 2019 ed è proprio da questa funzionalità dell’applicazione da cui sono partite le indagini degli esperti. Analizzando come l’applicazione salvava sul dispositivo gli adesivi, Shielder ha scoperto che questi influenzavano la funzionalità della chat segreta a tal punto che un malintenzionato avrebbe potuto sfruttare il difetto per ottenere l’accesso a messaggi, foto e video in essa contenuti semplicemente inviando un adesivo in quella chat.

Partendo dalla cartella rlottie, usata da Telegram per riprodurre le animazioni dei suoi adesivi, Shielder ha individuato 13 vulnerabilità. Questa cartella si è rivelata una libreria originariamente nativa di Samsung e usata per riprodurre le animazioni Lottie create da Airbnb. Riciclandola Telegram avrebbe aumentato le possibilità di attacco.

Tramite la tecnica del fuzzing, che consiste nell’invio di dati casuali allo scopo di causare un crash, Shielder ha scoperto che era possibile accedere al contenuto delle chat segrete grazie a un semplice adesivo animato che interrompeva la crittografia end-to-end.

Dopo la segnalazione Telegram ha risolto il problema riuscendo a non interrompere la crittografia delle chat. Ora ogni adesivo animato ricevuto in una chat segreta verrà analizzato e consegnato solamente se farà parte di un set di adesivi approvati dalla piattaforma e pertanto non dannosi.

 

Potrebbe interessarti anche





[Fonte Wired.it]