Los investigadores de la empresa Shielder, han publicado está
semana detalles de varias vulnerabilidades, parcheadas todas, en la aplicación
para iOS, Android y macOS de Telegram. Estas vulnerabilidades permitían a los
ciberdelincuentes exponer los mensajes secretos, fotos y vídeos secretos de
cualquier usuario.
Estas vulnerabilidades fueron parcheadas por parte de
Telegram en una serie de parches entre el 30 de septiembre y el 2 de octubre de
2020. Shielder siendo la empresa que descubrió estas vulnerabilidades, decidió no
divulgarlas, esperando 90 días antes de publicarlas, dando de esta forma tiempo
suficiente a los usuarios para actualizar sus dispositivos.
Los fallos se originan cuando las pegatinas animadas o
stickers son modificadas por parte de los ciberdelincuentes y estos stickers
modificados son enviados a un usuario, permitiendo al ciberdelincuente obtener
acceso a mensajes, fotos y videos que intercambio el usuario y sus contactos de
Telegram, bien sea en una conversación directa o en grupo.
Explotar estas vulnerabilidades era algo complicado, ya que
era necesario encadenar las vulnerabilidades para poder sortear la seguridad de
los dispositivos modernos.
Cabe señalar que este fallo no es el primero descubierto con
la función del chat secreto de Telegram, siendo el primero un fallo de
privacidad en la aplicación de macOS. El bug en macOS permitía el acceso a
archivos multimedia que debían haberse eliminado automáticamente. Esta
vulnerabilidad ya fue solucionada en un parche lanzado en la versión 7.4 de la
app para macOS.
