Un ricercatore indipendente, Dhiraj Mishra, ha scoperto che le versioni dell’app di messaggistica Telegram – che oggi conta oltre 100 milioni di download dal solo Play Store di Google – antecedenti alla 5.11 soffrivano di un problema di sicurezza certamente non di poco conto.
Da circa sei mesi Telegram permette di cancellare i messaggi già inviati, sia verso singoli interlocutori che all’interno dei gruppi di discussione (vedere qui). In questo modo per gli utenti è facile tornare sui propri passi nel caso in cui, ad esempio, si fossero erroneamente trasmessi a terzi messaggi e immagini.
Come spiega nella sua analisi, Mishra ha però scoperto che Telegram non cancellava davvero le immagini una volta consegnate ai destinatari.
Esse scomparivano sì dalle discussioni ma rimanevano memorizzate a livello di file system, nel percorso locale /Telegram/Telegram Images
. Così, un utente destinatario che avesse richiesto ad esempio il backup con Google Foto non soltanto le avrebbe viste apparire nella sua galleria ma ne avrebbe effettuato il backup automatico su Drive, all’interno del proprio account.
Il ricercatore ha segnalato privatamente la problematica agli sviluppatori di Telegram che si sono subito attivati per correggere il bug, sistemato nella versione 5.11 dell’applicazione.
Mishra è stato premiato con una somma in denaro pari a 2.500 dollari per aver documentato la lacuna di sicurezza in maniera responsabile.
Agli utenti di Telegram viene ovviamente consigliato di aggiornare quanto prima alla release 5.11. Va comunque tenuto presente che tale versione risolve il bug ma qualunque immagine già inviata e cancellata con le versioni precedenti dell’applicazione resterà memorizzata sui dispositivi dei destinatari, compresi quelli partecipanti ai gruppi.