Telegram è da tutti ritenuto l’anti-WhatsApp per eccellenza. Spicca per le sue naturali doti votate alla personalizzazione ed all’utilizzo user friendly nel rispetto della sicurezza più totale. Ci si arriva con le chat segrete, ovvero stanze in cui gli utenti dovrebbero poter scambiare messaggi e chiamarsi senza problemi di spionaggio. Ma adesso sappiamo che non è proprio così che funziona visto che basta veramente poco per portare allo scoperto i messaggi scambiati in ambiente protetto. Ecco come si può fare.
Telegram: scacco matto alle chat segrete con un trucco banale
Una vulnerabilità di sistema prontamente corretta dal team di sviluppo di Pavel Durov ha consentito di prendere il controllo delle chat segrete Telegram con un trucco. In chiaro sono finiti non soltanto i messaggi di testo scambiati tra gli utenti ma anche contenuti multimediali come foto, video e note audio. Tutto grazie ad un bug che sfrutta niente meno che dei semplicissimi sticker.
Reduce dalla scoperta è il ricercatore Paolo Giai di Shielder che per primo ha rivelato la falla già risolta con il pronto rilascio degli update Telegram datati 30 Settembre e 2 Ottobre 2020 per le versioni iOS, Android e macOS. Ma i dettagli sono arrivati solo dopo in modo tale da non consentire un attacco mirato attraverso tale exploit.
Si rende quindi necessario ottemperare la richiesta di aggiornamento Telegram prontamente al fine di evitare grossi guai sul fronte sicurezza. Gli adesivi contraddistinti dal tipo mime application/x-tgsticker con coordinate cloud sono serviti a bypassare le misure di sicurezza imposte alla security. Nel corso delle analisi forensi sono state rinvenute 13 falle:
- 1 heap out-of-bounds write;
- 1 stack out-of-bounds write;
- 1 stack out-of-bounds read;
- 2 heap out-of-bound read;
- 1 integer overflow che porta a heap out-of-bounds read;
- 2 type confusions;
- 5 denial-of-service.
Il preso possesso delle chat avrebbe consentito ad un hacker di appropriarsi di tutte le chat e dei contenuti annessi e concessi tramite l’invio di un apparentemente innocuo adesivo. in particolare occorre prestarsi al servizio di questi aggiornamenti minimi specifici:
- Telegram Android v7.1.0 (2090), rilasciato il 30 settembre 2020, e successivi;
- Telegram iOS v7.1, rilasciato il 30 settembre 2020, e successivi;
- Telegram macOS v7.1, rilasciato il 2 ottobre 2020, e successivi.