Las fallas se derivaron de la forma en que opera la funcionalidad del chat secreto
Investigadores de ciberseguridad revelaron el lunes detalles de una falla ahora parcheada en la aplicación de mensajería Telegram que podría haber expuesto los mensajes secretos, fotos y vídeos de los usuarios a actores maliciosos remotos.
Los problemas fueron descubiertos por Shielder, con sede en Italia, en las versiones de la aplicación para iOS, Android y macOS. Tras la divulgación responsable, Telegram los abordó en una serie de parches el 30 de septiembre y el 2 de octubre de 2020.
Las fallas se derivaron de la forma en que opera la funcionalidad del chat secreto y en el manejo de las pegatinas animadas por la aplicación, lo que permite a los atacantes enviar pegatinas mal formadas a usuarios desprevenidos y obtener acceso a mensajes, fotos y vídeos que intercambiaron con sus contactos de Telegram a través de chats clásicos y secretos.
Una advertencia a tener en cuenta es que explotar las fallas en la naturaleza puede no haber sido trivial, ya que requiere encadenar las debilidades antes mencionadas a al menos una vulnerabilidad adicional para sortear las defensas de seguridad en los modernos dispositivos de hoy. Eso puede parecer prohibitivo, pero, por el contrario, están al alcance tanto de las bandas de delincuentes cibernéticos como de los grupos de estados-nación.
Shielder dijo que eligió esperar al menos 90 días antes de revelar públicamente los errores para que los usuarios tengan tiempo suficiente para actualizar sus dispositivos.
"Las revisiones periódicas de seguridad son cruciales en el desarrollo de software, especialmente con la introducción de nuevas características, como las pegatinas animadas", dijeron los investigadores. "Las fallas que hemos informado podrían haber sido utilizadas en un ataque para acceder a los dispositivos de opositores políticos, periodistas o disidentes".
Vale la pena señalar que esta es la segunda falla descubierta en la función de chat secreto de Telegram, luego de los informes de la semana pasada de un error que derrota la privacidad en su aplicación macOS que hizo posible acceder a mensajes de audio y vídeo autodestructivos mucho después de que desaparecieron de los chats secretos.
Esta no es la primera vez que las imágenes y los archivos multimedia enviados a través de servicios de mensajería se han convertido en armas para llevar a cabo ataques nefastos.
En marzo de 2017, los investigadores de Check Point Research revelaron una nueva forma de ataque contra las versiones web de Telegram y WhatsApp, que implicaba enviar a los usuarios archivos de imágenes aparentemente inocuos que contenían código malicioso que, al abrirse, podrían haber permitido a un adversario hacerse cargo por completo de las cuentas de los usuarios en cualquier navegador y acceder a las conversaciones, fotos, vídeos y listas de contactos personales y grupales de las víctimas.