Telegram: niente autodistruzione per gli allegati su macOS. Il problema è stato risolto

Telegram integra una funzionalità che permette di impostare l’autodistruzione dei messaggi. Una volta scaduto il tempo impostato dal mittente del messaggio il testo della conversazione e gli eventuali allegati vengono automaticamente cancellati dai dispositivi: ne abbiamo parlato nell’articolo Telegram e l’autodistruzione dei messaggi: cosa c’è da sapere.

Il ricercatore Dhiraj Mishra ha recentemente scoperto una vulnerabilità nel client macOS di Telegram (versione 7.3): l’applicazione non cancellava gli allegati sebbene fossero stati impostati per l’autodistruzione. Il bug è stato corretto dagli sviluppatori di Telegram attraverso il rilascio di una nuova versione ma dimostra quanto oggi non si possa dare nulla per scontato, soprattutto sul piano della sicurezza e della gestione dei dati personali.

Mishra si è accorto che i file “con scadenza” inviati attraverso le chat segrete di Telegram non erano più accessibili dal client ma restavano comunque memorizzati sul sistema macOS all’infuori della sandbox.

Il bug è particolarmente preoccupante per quegli utenti che usano ricorrere a Telegram per inviare informazioni riservate essendo certi della loro rimozione automatica trascorso il periodo di tempo indicato.

Mishra, che ha iniziato a studiare il funzionamento di Telegram – in modo approfondito – fin dal 2018 – si è inoltre accorto che i codici per lo sblocco dell’applicazione venivano memorizzati in chiaro nella cartella Users/nomeutente/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/accounts-metadata sotto forma di file JSON.

Tutte le vulnerabilità sono state risolte con il rilascio di Telegram 7.4 e Mishra ha ricevuto la somma di 3.000 dollari dall’azienda di Pavel Durov come riconoscimento per il suo lavoro di ricerca.