Telegram conserta falha de armazenamento de arquivos enviados por engano
Por Nathan Vieira |
Um pesquisador de segurança cibernética chamado Dhiraj Mishra descobriu uma falha de privacidade no Telegram. Acontece que, se um usuário do aplicativo enviasse um arquivo ou uma imagem por engano e quisesse cancelar o envio, isso era perfeitamente possível. No entanto, o destinatário acabava com esse arquivo ou com essa imagem salva na mídia do celular mesmo assim. A informação foi divulgada primordialmente no blog pessoal do pesquisador, intitulado Inputzero, mas foi passada também para o portal norte-americano TechCrunch. O site ainda diz que um porta-voz do Telegram confirmou que a correção do bug aconteceu na última quinta-feira (5).
"Estamos abusando de um recurso bem conhecido de excluir mensagens aqui, que permite a qualquer usuário excluir uma mensagem que é enviada por engano. Nesse caso, observou-se que uma vez que a mensagem que é uma imagem é enviada para qualquer usuário, ela ainda permanece na pasta Telegram / Telegram Images", explica o pesquisador, que também compartilhou um vídeo onde mostra como esse erro de privacidade acontece na prática:
O pesquisador descobriu que outros aplicativos de mensagens, como o WhatsApp, tinham o mesmo recurso de não enviar uma mensagem caso o usuário estivesse arrependido/enganado, mas, quando testados, esses apps excluíram tanto a mensagem quanto o conteúdo, diferente do Telegram.
Mishra afirma que a versão Android do Telegram guarda permanentemente fotos e vídeos no armazenamento interno do dispositivo. "Isso funciona perfeitamente em grupos, também", explicou o pesquisador durante uma entrevista ao TechCrunch. "Se você tem um grupo de 100 mil membros do Telegram e envia uma mensagem de mídia por engano e a exclui, ela é excluída do bate-papo, mas permanecerá no armazenamento de mídia de todos os 100 mil membros", acrescenta.
Tendo isso em mente, o Telegram corrigiu a vulnerabilidade e o pesquisador de segurança recebeu € 2.500 (o equivalente a R$ 11.300) como recompensa pela descoberta e pela divulgação da vulnerabilidade.
Fonte: Inputzero via TechCrunch