lunes, 30 de noviembre de 2015

Telegram para Android tiene un agujero de seguridad que permite stalkear a otros

La aplicación de mensajería cifrada Telegram es reconocida por sus altos estándares de seguridad, lo que incluso la convierte en la aplicación preferida por grupos como el Estado Islámico, sin ambargo, el desarrollador Ola Flisbäck ha descubierto que con una línea de código es capaz de usar la metadata para burlar la encriptación e identificar a la persona con quien se está conversando.

En una publicación de GitHub, Flisbäck reconoció estar sorprendido con la gran cantidad de metadata que recibe de sus contactos, la que usando el cliente de Telegram vysheng's CLI, fue capaz de revelar la identidad de los contactos guardados.

La aplicación Telegram en Android envía una notificación a todos los contactos cuando deja de ser la aplicación 'en primer plano' en el dispositivo.

Al usar esta información por sí sola es a veces fácil hacer conjeturas acerca de quién está hablando con quién si tiene varios contactos en común con una 'víctima'."

Si la presencia de la metadata ya representa un problema, Flisbäck asegura que aún más peligroso es que esta vulnerabilidad no requiere que los contactos estén visibles en Telegram y explica que "basta con que el atacante sepa el número de teléfono de la víctima y lo agregue a sus contactos de Android para que se pueda acceder a toda su metadata", sin aparecer en la lista de contactos de la víctima.

En conversación con The Next Web, Telegram ha comunicado que tiene una solución para este problema, el cual requiere limitar la visibilidad del estado. Para cambiar los permisos de estado en Telegram debes ir a Ajustes>Privacidad y seguridad>Última Conexión.

Debido a que los ajustes de ajustes de privacidad funcionan a nivel de API, al cambiar estas preferencias el acceso a la metadata estará restringido sea que uses la aplicación oficial o algún cliente desarrollado por un tercero.

Screenshot_2015-11-30-17-38-34

No hay comentarios:

Publicar un comentario