Người dùng ứng dụng nhắn tin Telegram trên macOS đang được cảnh báo về những vấn đề tiềm ẩn trong quyền riêng tư, các tệp tin họ chia sẻ với người khác có thể bị lộ.
Theo nghiên cứu của Reegun Richard Jayapaul, kiến trúc sư hàng đầu về các mối đe dọa riêng tư tại Trustwave SpiderLabs, tính năng tự hủy trong Telegram có thể bị qua mặt và không hủy vĩnh viễn những tệp tin trao đổi này. Telegram là ứng dụng nổi tiếng tập trung cao vào bảo vệ quyền riêng tư người dùng.
Vấn đề đầu tiên là bất kỳ tệp phương tiện nào được gửi qua Telegram đều được lưu trữ trong một thư mục bộ nhớ cache, ngay cả sau khi tin nhắn đã tự hủy. Điều đó có nghĩa là tin tặc vẫn có thể truy cập các tệp đó, cho dù đó là file âm thanh, tin nhắn video, vị trí hoặc tài liệu được chia sẻ. Vấn đề đó đã được Telegram khắc phục, các chi tiết chỉ mới được công bố vì Jayapaul từ chối nhận phần thưởng từ Telegram.
Ứng dụng tin nhắn đã yêu cầu ông giữ bí mật thông tin và đổi lại, sẽ nhận một khoản tiền thưởng. Đây cũng là lần thứ hai trong năm nay, một nhà nghiên cứu phát hiện các tệp tin chia sẻ không bị xóa trong các cuộc trò chuyện tự hủy trong Telegram. Lỗi lần đầu tiên được vá trong phiên bản 7.4. Bản sửa lỗi mới nhất đã có trong phiên bản 7.7. Karl Sigler, Giám đốc Nghiên cứu Bảo mật Cấp cao của Trustwave SpiderLabs cho biết: "Rõ ràng là Telegram có lịch sử để lại các tệp phương tiện được cho là "tự hủy" này".
Sự cố thứ hai chưa được Telegram vá, điều đó có nghĩa là tính năng tự hủy có thể bị bỏ qua, tin tặc chỉ cần lấy một tệp từ thư mục bộ nhớ cache mà không cần mở tin nhắn. Tất nhiên, điều này có thể được thực hiện bằng cách chụp ảnh màn hình hoặc ghi màn hình, mặc dù việc truy cập vào bộ nhớ cache sẽ hiển thị cho người gửi rằng người nhận chưa xem thư, khiến họ không hề biết là họ được chia sẻ file.
"Tính năng tự hủy có mục đích đơn giản là để người dùng gửi các file phương tiện mà sau đó chúng sẽ tự xóa. Chúng tôi cảnh báo người dùng rằng họ chỉ nên sử dụng tính năng này với những người mà họ tin tưởng, vì không có cách nào để phần mềm ngăn chặn 100% việc ai đó lưu phiên bản của tin nhắn hoặc phương tiện - chẳng hạn như chỉ cần chụp ảnh màn hình của họ bằng một thiết bị khác", người phát ngôn của Telegram cho biết và cung cấp một liên kết đến hướng dẫn khách hàng.
"Với sự giúp đỡ của các nhà nghiên cứu, chúng tôi tiếp tục cải thiện chức năng và tính bảo mật của các tính năng như thế này. Đối với tất cả các vấn đề khác, chúng tôi hoan nghênh các đề xuất có thể mang lại các giải pháp bổ sung".
Theo nghiên cứu của Reegun Richard Jayapaul, kiến trúc sư hàng đầu về các mối đe dọa riêng tư tại Trustwave SpiderLabs, tính năng tự hủy trong Telegram có thể bị qua mặt và không hủy vĩnh viễn những tệp tin trao đổi này. Telegram là ứng dụng nổi tiếng tập trung cao vào bảo vệ quyền riêng tư người dùng.
Vấn đề đầu tiên là bất kỳ tệp phương tiện nào được gửi qua Telegram đều được lưu trữ trong một thư mục bộ nhớ cache, ngay cả sau khi tin nhắn đã tự hủy. Điều đó có nghĩa là tin tặc vẫn có thể truy cập các tệp đó, cho dù đó là file âm thanh, tin nhắn video, vị trí hoặc tài liệu được chia sẻ. Vấn đề đó đã được Telegram khắc phục, các chi tiết chỉ mới được công bố vì Jayapaul từ chối nhận phần thưởng từ Telegram.
Ứng dụng tin nhắn đã yêu cầu ông giữ bí mật thông tin và đổi lại, sẽ nhận một khoản tiền thưởng. Đây cũng là lần thứ hai trong năm nay, một nhà nghiên cứu phát hiện các tệp tin chia sẻ không bị xóa trong các cuộc trò chuyện tự hủy trong Telegram. Lỗi lần đầu tiên được vá trong phiên bản 7.4. Bản sửa lỗi mới nhất đã có trong phiên bản 7.7. Karl Sigler, Giám đốc Nghiên cứu Bảo mật Cấp cao của Trustwave SpiderLabs cho biết: "Rõ ràng là Telegram có lịch sử để lại các tệp phương tiện được cho là "tự hủy" này".
Sự cố thứ hai chưa được Telegram vá, điều đó có nghĩa là tính năng tự hủy có thể bị bỏ qua, tin tặc chỉ cần lấy một tệp từ thư mục bộ nhớ cache mà không cần mở tin nhắn. Tất nhiên, điều này có thể được thực hiện bằng cách chụp ảnh màn hình hoặc ghi màn hình, mặc dù việc truy cập vào bộ nhớ cache sẽ hiển thị cho người gửi rằng người nhận chưa xem thư, khiến họ không hề biết là họ được chia sẻ file.
"Tính năng tự hủy có mục đích đơn giản là để người dùng gửi các file phương tiện mà sau đó chúng sẽ tự xóa. Chúng tôi cảnh báo người dùng rằng họ chỉ nên sử dụng tính năng này với những người mà họ tin tưởng, vì không có cách nào để phần mềm ngăn chặn 100% việc ai đó lưu phiên bản của tin nhắn hoặc phương tiện - chẳng hạn như chỉ cần chụp ảnh màn hình của họ bằng một thiết bị khác", người phát ngôn của Telegram cho biết và cung cấp một liên kết đến hướng dẫn khách hàng.
"Với sự giúp đỡ của các nhà nghiên cứu, chúng tôi tiếp tục cải thiện chức năng và tính bảo mật của các tính năng như thế này. Đối với tất cả các vấn đề khác, chúng tôi hoan nghênh các đề xuất có thể mang lại các giải pháp bổ sung".
Theo VN review
