Telegram a corrigé un autre bug d’autodestruction d’image dans son application plus tôt cette année. Ce défaut était un problème différent de celui rapporté en 2019. Mais le chercheur qui a signalé le bogue n’est pas satisfait du délai d’exécution de plusieurs mois de Telegram et d’une prime de 1 159 $ (1 000 €) offerte en échange de son silence.
Les images auto-détruites sont restées sur l’appareil
Comme d’autres applications de messagerie, Telegram permet aux expéditeurs de définir les communications sur « s’autodétruire », de sorte que les messages et toutes les pièces jointes multimédias sont automatiquement supprimés de l’appareil après une période de temps définie. Une telle fonctionnalité offre une confidentialité étendue à la fois aux expéditeurs et aux destinataires ayant l’intention de communiquer discrètement.
En février 2021, Telegram introduit un ensemble de fonctionnalités de suppression automatique dans sa version 2.6 :
- Définir les messages à supprimer automatiquement pour tout le monde 24 heures ou 7 jours après l’envoi
- Contrôlez les paramètres de suppression automatique dans n’importe lequel de vos chats, ainsi que dans les groupes et les canaux où vous êtes un administrateur
- Pour activer la suppression automatique, faites un clic droit sur le chat dans la liste des chats > Effacer l’historique > Activer la suppression automatique
Mais en quelques jours, le chercheur anonyme Dmitrii a découvert une faille inquiétante dans la façon dont l’application Telegram Android avait mis en œuvre l’autodestruction.
Comme chaque instance d’autodestruction prend au moins 24 heures, les tests de Dmitrii ont duré quelques jours.
« Après seulement quelques jours… après avoir fait preuve de diligence, j’ai obtenu ce que je cherchais : les messages qui devraient être supprimés automatiquement des participants aux discussions de groupe privées et privées n’ont été « supprimés » que visuellement. [in the messaging window], mais en réalité, les messages image sont restés sur l’appareil [in] la cache », a écrit le chercheur dans une version grossièrement traduite article de blog publié la semaine dernière.
Traqué comme CVE-2021-41861, la faille est plutôt simple. Dans les versions de l’application Telegram Android 7.5.0 à 7.8.0, les images auto-détruites restent sur l’appareil dans le /Storage/Emulated/0/Telegram/Telegram Image répertoire après environ deux à quatre utilisations de la fonction d’autodestruction. Mais l’interface utilisateur semble indiquer à l’utilisateur que le support a été correctement détruit.
Telegram demande la « confidentialité » en échange d’une prime
Mais pour un simple bug comme celui-ci, il n’était pas facile d’attirer l’attention de Telegram, a expliqué Dmitrii. Le chercheur a contacté Telegram début mars. Et après une série d’e-mails et de correspondances textuelles entre le chercheur et Telegram pendant des mois, la société a contacté Dmitrii en septembre, confirmant enfin l’existence du bogue et collaborant avec le chercheur lors des tests bêta. Pour ses efforts, Dmitrii s’est vu offrir une récompense de 1 000 € (1 159 $).
Bien que de nombreuses entreprises proposant des programmes de bug bounty offrent des récompenses monétaires aux pirates informatiques éthiques qui identifient et signalent de manière responsable les vulnérabilités, la divulgation des failles de sécurité est généralement autorisée après une période convenue de 60 ou 90 jours.
« Après avoir étudié le contrat envoyé par courrier électronique par un représentant de Telegram, j’ai attiré l’attention sur le fait que Telegram exige [me] de ne divulguer aucun détail de coopération/détails techniques par défaut sans son approbation écrite », a écrit Dmitrii, se référant au document de huit pages une entente l’entreprise a fourni le chercheur.
L’accord de récompense de bug bounty de Telegram.
Depuis, le chercheur affirme avoir été fantôme par Telegram, qui n’a donné aucune réponse et aucune récompense. « Je n’ai pas reçu la récompense promise de Telegram en 1 000 € ou autre », a-t-il écrit.
Fait intéressant, en 2019, un bogue distinct également lié à la fonction d’autodestruction a été signalé par un autre chercheur qui est reparti avec une prime de bogue plus élevée – une récompense de 2 500 € (2 897 $) plutôt qu’un maigre 1 000 €.
Rapports de vulnérabilité de Telegram programme, géré par HackerOne, n’est pas non plus clair sur le protocole de divulgation responsable de l’entreprise. Le document renvoie à une FAQ qui mentionne « Bounties » et « Cracking Contests » organisés par Telegram, mais rien ne permet de savoir si ou quand les problèmes de sécurité peuvent être divulgués.
La dernière version de l’application Telegram Android publiée le 22 septembre, vue par Ars, est la v8.1.2 sur le Google Play Store, bien que le bogue signalé ait probablement été corrigé dans une version antérieure. Quoi qu’il en soit, les utilisateurs de Telegram doivent mettre à jour leur application vers la dernière version pour recevoir les mises à jour de sécurité actuelles et futures.
Ars a contacté Telegram pour commenter à l’avance, et nous attendons la réponse de la société.
Source link
