Recibir un sticker en Telegram podría haber expuesto tus chats secretos
Investigadores de ciberseguridad revelaron el lunes detalles de una vulnerabilidad ahora parcheada en la aplicación de mensajería Telegram. La vulnerabilidad podría haber expuesto los mensajes secretos, fotos y videos de los usuarios a actores maliciosos remotos.
Los problemas fueron descubiertos por la empresa italiana Shielder, en las versiones de la aplicación para iOS, Android y macOS. Tras la divulgación responsable, Telegram los abordó en una serie de parches el 30 de septiembre y el 2 de octubre de 2020.
Las vulnerabilidades se originaron en la forma en que opera la funcionalidad de chat secreto y en el manejo de los stickers animados de la aplicación. Esto permitía a los atacantes enviar stickers maliciosos a usuarios desprevenidos. Y, obtener acceso a mensajes, fotos y videos que se intercambiaron con sus contactos de Telegram a través de los chats clásicos y chats secretos.
Advertencia
Una situación a tener en cuenta es que explotar las vulnerabilidades en el entorno puede no haber sido trivial. Esto porque requería encadenar las vulnerabilidades antes mencionadas a al menos una vulnerabilidad adicional para sortear las defensas de seguridad en los dispositivos modernos de hoy.
Eso puede parecer prohibitivo. Sin embargo, por el contrario, están al alcance tanto de las bandas de ciberdelincuentes como de los grupos de estados nación por igual.
Shielder dijo que esperó al menos 90 días antes de revelar públicamente las vulnerabilidades para que los usuarios tuviesen tiempo suficiente para actualizar sus dispositivos.
“Las revisiones periódicas de seguridad son cruciales en el desarrollo de software, especialmente con la introducción de nuevas características. Por ejemplo, los stickers animados”, dijeron los investigadores. “Las vulnerabilidades que hemos reportado podrían haber sido utilizadas en un ataque para acceder a los dispositivos de opositores políticos, periodistas o disidentes”.
Vale la pena señalar que esta es la segunda vulnerabilidad descubierta en la función de chat secreto de Telegram. Esto luego de los informes de la semana pasada de una vulnerabilidad que evade la privacidad en su aplicación macOS. Esa vulnerabilidad hizo posible acceder a mensajes de audio y videos autodestruibles mucho después de la eliminación de los chats secretos.
Problemas con archivos multimedia
Esta no es la primera vez que las imágenes y los archivos multimedia enviados a través de servicios de mensajería son un vector de ataque. Estos se han convertido en armas para llevar a cabo ataques nefastos.
En marzo de 2017, los investigadores de Check Point Research revelaron una nueva forma de ataque contra las versiones web de Telegram y WhatsApp. Ese ataque implicaba enviar a los usuarios archivos de imágenes aparentemente inocuos que contenían código malicioso que. Estos al abrirse podrían haber permitido que un atacante tomara el control de las cuentas de los usuarios en cualquier navegador. Asimismo, el atacante podría acceder a las conversaciones, fotos, videos y listas de contactos personales y grupales de las víctimas.