Telegram para MacOS guarda conversaciones locales en texto plano

Al igual que con Signal, la aplicación de mensajería de Telegram Desktop para MacOS falla a la hora de proteger el contenido de chats localmente, ofreciendo un acceso a conversaciones y archivos en texto plano que viajan cifradas.

Actualización 05/2018: inicialmente se había informado que la vulnerabilidad se encontraba en Telegram Desktop pero luego el investigador confirmó que se encuentra solo en una versión de MacOS ya que Telegram no utiliza SQLite.

A pesar de esto, hay una característica que otorga la completa privacidad de los usuarios para comunicarse llamada “chats secretos”. Esta opción realiza una cifrado punto a punto para garantizar el acceso únicamente a los participantes de la conversación.

Todas estas precauciones son buenas para asegurarse de que no se intercepte la información, aunque es relativamente fácil acceder a los datos almacenados localmente en el escritorio.

Nathaniel Suchy fue capaz de ver el contenido de los mensajes de la base de datos de la aplicación, afirmando que Telegram usa una base de datos de SQLite difícil de leer para guardar mensajes.

Analizando los datos convertidos en un formato más sencillo de visualizar, Suchy también encontró nombres y números de teléfono que podrían estar correlacionados el uno con el otro. Aunque esto sea posible, la información no es fácil de leer pero scripts personalizados podrían destacar los detalles importantes más fácilmente para automatizar la extracción haciéndolos más legibles.

Telegram no cifra su base de datos en el sistema al igual que Signal, dejando los mensajes en texto plano. Telegram proporciona contraseñas para protegerlo de accesos no autorizados pero esto no cifra la base de datos. De esta forma se podría seguir leyendo el contenido de los chats.

El investigador también probó los “chats secretos” en los que los mensajes resultan llegar a la misma base de datos aunque se beneficien de la cifrado punto a punto.

En cuanto al contenido multimedia, tampoco parece que cambie la situación siendo la ofuscación la única protección contra su extracción. Suchy cambió la extensión de una imagen para poder verla.

Guardar datos en texto plano no es algo que debemos esperar de aplicaciones seguras. Telegram y Signal ambos contestaron que cifrar los datos almacenados no es algo que la aplicación de escritorio intenta proveer.

Para proteger los datos localmente, debemos cifrar el disco duro entero, siendo posible en Windows con BitLocker/VeraCrypt y en macOS con FileVault. En Linux también se puede realizar esto, durante la instalación varias distribuciones ofrecen la posibilidad.

FuenteBleepingComputer

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.