idNSA.id - Aplikasi perpesanan populer Telegram memperbaiki bug di fitur self-destructed yang menggangu privasi di aplikasi macOS yang memungkinkan untuk mengakses pesan audio dan video meskipun telah menghilang dari secret chat.
Kerentanan itu ditemukan oleh peneliti keamanan Dhiraj Mishra di aplikasi versi 7.3, yang mengungkapkan temuannya ke Telegram pada 26 Desember 2020. Masalah tersebut telah diselesaikan di versi 7.4 , yang dirilis pada 29 Januari 2021.
Tidak seperti Signal atau WhatsApp, percakapan di Telegram secara default tidak dienkripsi end-te-end, kecuali pengguna secara eksplisit memilih untuk mengaktifkan fitur khusus yang disebut "secret chat" yang menyimpan data dienkripsi bahkan di server Telegram. Juga tersedia sebagai bagian dari secret chat adalah pilihan self-destructed yaitu fitur untuk mengirim pesan yang dapat merusak pesan itu sendiri.
Apa yang ditemukan Mishra adalah ketika pengguna merekam dan mengirim pesan audio atau video melalui obrolan biasa, aplikasi membocorkan path yang tepat di mana pesan yang direkam disimpan dalam format ".mp4". Dengan mengaktifkan opsi secret chat, informasi path tidak terlihat, tetapi pesan yang direkam masih disimpan di lokasi yang sama.
Selain itu, meskipun pengguna menerima pesan yang bersifat self-destructed dalam secret chat, pesan multimedia tetap dapat diakses di sistem bahkan setelah pesan tersebut menghilang dari layar obrolan aplikasi.
Secara terpisah, Mishra juga mengidentifikasi kerentanan kedua di aplikasi macOS Telegram yang menyimpan passcode local dalam plaintext di file JSON yang terletak di bawah
"/Users/<user_name>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/."
Mishra dianugerahi €3,000 karena melaporkan dua kekurangan tersebut sebagai bagian dari program bug bounty-nya.
