Una falla oculta en el servicio de mensajería segura de Telegram podría exponer las contraseñas de los usuarios, encontró un investigador. El servicio también puede exponer archivos multimedia de mensajes autodestructivos.
- Experimenta cargas ultra rápidas gracias a una unidad de estado sólido (SSD) de alta velocidad, una inmersión más profunda con retroalimentación háptica, gatillos adaptivos y el nuevo audio 3D, además de una nueva generación de increíbles juegos de PlayStation
Dhiraj Mishra, un consultor de seguridad que trabaja en Dubai, reveló en una publicación de blog ayer (11 de febrero) que el cliente de escritorio Mac para Telegram conservó indefinidamente los archivos de audio y video de los mensajes autodestructivos.
Investigó un poco más y descubrió que el cliente de Mac Telegram también almacenaba las contraseñas de los usuarios en texto sin formato. Ninguno de estos fallos de seguridad es algo bueno. El malware o un intruso astuto podrían haber encontrado ambos conjuntos de archivos.
«Telegram falla de nuevo en términos de manejo de los datos del usuario», escribió Mishra en su publicación de blog, titulada sarcásticamente «La ‘P’ en Telegram significa privacidad».
El cliente de Mac borró apropiadamente los mensajes autodestructivos, escribió Mishra. Pero si se adjuntaran archivos de video o audio a esos mensajes, esos archivos aún se podrían encontrar enterrados en lo profundo del sistema de archivos de Mac. Cualquiera, o cualquier cosa, que supiera dónde buscar podía encontrarlos.
Las contraseñas se escribieron en texto sin formato en los metadatos de Telegram del usuario, donde también podrían haber sido encontradas por atacantes.
Mishra le dijo a Bleeping Computer que informó de las fallas a Telegram en diciembre y recibió una recompensa por errores de 3.000 euros por su problema.
Telegram corrigió ambas fallas con la actualización 7.4 a fines de enero. Si está utilizando Telegram en una Mac, asegúrese de que el software de su cliente esté actualizado.
Telegram ha visto un aumento en los nuevos usuarios recientemente, luego de que un cambio de permisos de privacidad en WhatsApp provocó un éxodo del servicio propiedad de Facebook.
Muchos profesionales de la seguridad no están convencidos de que Telegram sea muy seguro de usar para comunicaciones altamente sensibles. En cambio, recomiendan el servicio Signal, que usa el mismo cifrado que WhatsApp.
Mishra terminó su blog con una clara indicación de su posición sobre el tema, incorporando el ahora famoso tweet de Elon Musk en «Use Signal». (Así es cómo.)
Las mejores ofertas de Apple iPhone SE (2020) de hoy
Minutos ilimitados
Textos ilimitados
3GBdata
Minutos ilimitados
Textos ilimitados
Datos ilimitados
Llamadas:
a EE. UU., Canadá, México, China y Rumania
Datos:
2G ilimitado después de 25 GB de uso de datos 4G LTE
Minutos ilimitados
Textos ilimitados
15GBdata
Llamadas:
Llamadas a MX y CA incluidas
Textos:
Mensajería a MX y CA incluida
Datos:
(ralentizado a velocidades de 128 kbps)