برنامهی پیامرسان امن تلگرام با عدم حذف صحیح تصاویر از فضای ذخیرهسازی محلی یک دستگاه در زمانی که فرستنده آنها را انتخاب میکند تا برای همهی گیرندگان حذف شود، حریم خصوصی کاربران را نقض میکند.
این گزینه به این منظور تعبیه شده بود که به کاربران این امکان را بدهد که پیامهایی را که به اشتباه ارسال کردهاند و یا واقعاً برای گیرندهای ارسال کردهاند، حذف کنند. با حذف این پیامهای ارسالی اشتباه برنامه به حفظ حریم خصوصی کاربر کمک میکرد، اگرچه به نظر میرسد که این ویژگی همیشه طبق انتظار کار نمیکند.
آنچه که یک پژوهشگر امنیتی از InputZero کشف کرد، این بود که تلگرام تصاویر دریافتشده را در فضای ذخیرهسازی داخلی دستگاه گیرنده و در آدرس /Telegram/Telegram Images/’path ذخیره میکند. تصاویر ذخیرهشده، زمانی که کاربر این گزینه را برای حذف تصویر از مکالمه برای همهی گیرندگان انتخاب میکند، از این پوشه حذف نمیکند که موجب میشود که گیرندگان اشتباه با مراجعه به این پوشه همچنان به تصاویر حذف شده دسترسی داشته باشند.
علاوهبرآن، این آسیبپذیری برای سوپرگروههای تلگرام نیز آشکار میشود. بنابراین، رسانههای به اشتراکگذاشتهشده در این گروهها در دستگاههای همهی گیرندگان باقی خواهد ماند.
بااینحال، تلگرام مجوزهای خواندن، نوشتن و اصلاح را برای فضای ذخیرهسازی USB درخواست میکند، به این معنا که بتواند عکسهای محرمانه را هنگام انجام این فرآیند توسط فرستنده، از فضای ذخیرهسازی محلی حذف کند.
این پژوهشگر امنیتی که یک اثبات مفهومی ویدئویی منتشر کرد، بیان میکند که این مسأله در نسخهی ۵٫۱۰٫۰ تلگرام برای اندروید کشف شده است. نسخههای iOS و ویندوز این برنامه آزمایش نشدهاند، اما ممکن است آسیبپذیر باشند. این پژوهشگر این آسیبپذیری را به تلگرام گزارش داد که به سرعت برای رفع آن وصلهای منتشر شد و این شرکت یک پاداش ۲٬۷۶۰ دلاری به او داد.