تلگرام تصاویر حذف‌شده از فضای ذخیره‌سازی محلی گیرنده را به درستی حذف نمی‌کند

برنامه‌ی پیام‌رسان امن تلگرام با عدم حذف صحیح تصاویر از فضای ذخیره‌سازی محلی یک دستگاه در زمانی که فرستنده آن‌ها را انتخاب می‌کند تا برای همه‌ی گیرندگان حذف شود، حریم خصوصی کاربران را نقض می‌کند.

این گزینه به این منظور تعبیه شده بود که به کاربران این امکان را بدهد که پیام‌هایی را که به اشتباه ارسال کرده‌اند و یا واقعاً برای گیرنده‌ای ارسال کرده‌اند، حذف کنند. با حذف این پیام‌های ارسالی اشتباه برنامه به حفظ حریم خصوصی کاربر کمک می‌کرد، اگرچه به نظر می‌رسد که این ویژگی همیشه طبق انتظار کار نمی‌کند.

آنچه که یک پژوهش‌گر امنیتی از InputZero کشف کرد، این بود که تلگرام تصاویر دریافت‌شده را در فضای ذخیره‌سازی داخلی دستگاه گیرنده و در آدرس /Telegram/Telegram Images/’path ذخیره می‌کند. تصاویر ذخیره‌شده، زمانی که کاربر این گزینه را برای حذف تصویر از مکالمه برای همه‌ی گیرندگان انتخاب می‌کند، از این پوشه حذف نمی‌کند که موجب می‌شود که گیرندگان اشتباه با مراجعه به این پوشه همچنان به تصاویر حذف شده دسترسی داشته باشند.

علاوه‌برآن، این آسیب‌پذیری برای سوپرگروه‌های تلگرام نیز آشکار می‌شود. بنابراین، رسانه‌های به اشتراک‌گذاشته‌شده در این گروه‌ها در دستگاه‌های همه‌ی گیرندگان باقی خواهد ماند.

بااین‌حال، تلگرام مجوزهای خواندن، نوشتن و اصلاح را برای فضای ذخیره‌سازی USB درخواست می‌کند، به این معنا که بتواند عکس‌های محرمانه را هنگام انجام این فرآیند توسط فرستنده، از فضای ذخیره‌سازی محلی حذف کند.

این پژوهش‌گر امنیتی که یک اثبات مفهومی ویدئویی منتشر کرد، بیان می‌کند که این مسأله در نسخه‌ی ۵٫۱۰٫۰ تلگرام برای اندروید کشف شده است. نسخه‌های iOS‌ و ویندوز این برنامه آزمایش نشده‌اند، اما ممکن است آسیب‌پذیر باشند. این پژوهش‌گر این آسیب‌پذیری را به تلگرام گزارش داد که به سرعت برای رفع آن وصله‌ای منتشر شد و این شرکت یک پاداش ۲٬۷۶۰ دلاری به او داد.

منبع

پست‌های مشابه

Leave a Comment