ビデオテレグラムは、チャット アプリの主要なプライバシー機能の 1 つである、受信者の携帯電話から機密メッセージを完全に削除する機能に影響を及ぼすバグを修正しました。
このソフトウェアは、友人に送信したメッセージを効果的に取り消すことができると主張しており、取り消されたチャットは友人のデバイスから削除されるという。
しかし、バグ報奨金ハンターのディラジ・ミシュラ氏は本日、 The Registerに対し、メッセージのテキスト内容は削除されるものの、添付された画像は意図せず端末に残ってしまうと語った。
一般的に言えば、インターネット上で誰かにデータを送信したら、その情報は事実上自分の手に負えなくなり、取り戻すことは事実上不可能であると想定するのは妥当ですが、このリモート削除メカニズムは Telegram の機能であり、機能すると予想されていたことを覚えておいてください。
「ボブが機密画像を含むメッセージを送信し、それが誤ってアリスに送信されたというシナリオを想定してください。ボブはテレグラムの『アリスも削除』という機能を利用しますが、これは実質的にアリスへのメッセージを削除することになります」と、このバグを発見しテレグラムに非公開で報告したミシュラ氏は説明した。
どうやら、この機能は意図したとおりには動作していないようです。アリスは依然として「/Telegram/Telegram Images/」フォルダに保存されている画像を見ることができるため、この機能はチャットウィンドウから画像を削除するだけであると結論付けています。
以下はプログラミング監視を説明するビデオです。
YouTubeビデオ
「Android版Telegramの最新安定版(5.10.0 (1684))で試してみました」とミシュラ氏は付け加えた。「iOS版TelegramとWindows版Telegramでは試していませんが、他のプラットフォームでも同様の問題が発生していると思われます。」
1対1のチャットでも十分に恥ずかしい状況ですが、この欠陥は特に大規模なグループチャットで危険です。ミシュラ氏は、Telegramのグループには数千人規模のユーザーが参加している場合があり、誤って個人情報や機密情報を含む画像を添付した場合、その画像が削除されたことを確認する方法が実質的に存在しないと指摘しました。
今日はテレグラムが使えない、抗議者:香港の抗議活動中に中国がDDoSチャットアプリをブロック
続きを読む
「ファイルは全ユーザーのストレージに残るため、壊れた機能に頼っていることになります」とミシュラ氏は指摘する。「さらに、TelegramはUSBストレージの「読み取り/書き込み/変更」権限を取得するため、技術的には機密写真はアリスのデバイスまたはストレージから削除されているはずであることがわかりました。」
ミシュラ氏は、これはエンドツーエンドの暗号化を提供し、ユーザーが自分の通信がいつどのように見られるかを厳密に制御できることを誇りにしているアプリ、テレグラムにとって重大なセキュリティ上の欠陥だと語る。
「この問題はより大きな影響を及ぼす可能性があり、これがどれくらい(長く)続いたのかは定かではない」とミシュラ氏は指摘し、「テレグラムのプライバシーという言葉はここでも通用せず、テレグラムに対するユーザーの信頼が危険にさらされている」と述べた。
Telegramも同意見のようだ。メッセージングアプリの開発者は、この発見に対しミシュラ氏に2,300ユーロ(2,542ドル)の報奨金を支払い、この欠陥を修正するアップデートをリリースした。ユーザーは、アプリを最新バージョン(バージョン5.11以降)にアップデートするか、「新しいシークレットチャット」機能(双方の画像が削除される)を使用するよう推奨されている。®
