Au total, treize vulnérabilités ont été découvertes et corrigées par la suite par l’application basée à Dubaï.
Une enquête menée par des consultants en sécurité informatique, Shielder, a révélé des dizaines de vulnérabilités dans l’application Telegram. Telegram a introduit des autocollants en 2019, et ce qui a commencé comme une recherche sur le code source de cette nouvelle fonctionnalité est devenu une enquête de huit mois sur plus d’une douzaine d’exploits de sécurité.
Ces failles ont permis aux attaquants distants d’envoyer des autocollants malveillants à d’autres utilisateurs pour accéder à des messages privés, des photos et des vidéos. En écrivant pour Shielder, un journaliste nommé « polict » a détaillé comment les autocollants ne seraient rendus que lorsqu’une discussion Telegram était ouverte – afin que les utilisateurs puissent potentiellement contourner les vulnérabilités en ignorant les messages suspects.
Cependant, si un utilisateur ouvrait une discussion contenant un autocollant mal formé, la faille s’activerait – et le ferait chaque fois que cette discussion était ouverte.
« Depuis l’autocollant animé est téléchargé sur l’appareil », a déclaré polict. « cela a transformé les corruptions de mémoire inutiles (telles que les déréférences de pointeur nul) en un crash ennuyeusement persistant qui aurait empêché des victimes non techniques d’accéder aux messages précédents dans le chat ».
Des exploits ont été détectés sur les applications macOS, iOS et Android Telegram et étaient étonnamment complexes. Pour contourner les défenses de sécurité présentes dans la plupart des appareils, les attaquants devraient connecter les vulnérabilités à une autre faille dans une chaîne – un processus capricieux qui ne dissuaderait cependant pas les attaquants déterminés.
Au cours de son enquête, Shield a découvert 13 vulnérabilités y compris:
- 1 tas d’écriture hors limites
- 1 pile d’écriture hors limites
- 1 pile hors limites en lecture
- 2 tas de lecture hors limites
- 1 débordement d’entier entraînant une lecture hors limites du tas
- 2 confusions de type
- 5 failles de déni de service
Heureusement, les menaces ont depuis été signalées. polict affirme que Shielder a attendu 90 jours avant de divulguer les failles à Telegram afin que ses utilisateurs puissent mettre à jour leurs appareils.
Telegram lui-même a également confirmé que les bogues ont été résolus – à savoir avec une série de correctifs qui ont atterri les 30 septembre et 2 octobre 2020. Des mises à jour ont été mises à disposition pour les clients macOS, iOS et Android, et les utilisateurs de Telegram n’ont plus à s’inquiéter. des autocollants malveillants à condition qu’ils aient mis à jour l’application au cours des quatre derniers mois.
À la suite de la mise à jour impopulaire de la politique de confidentialité de WhatsApp, de nombreux utilisateurs ont cherché un autre messager et 25 millions de nouveaux utilisateurs se sont inscrits sur Telegram à la suite des événements de l’émeute du Capitole américain.
Avant de commencer cette recherche en 2019, j’aurais été assez sceptique si vous m’aviez demandé si l’année suivante je trouverais une seule corruption de mémoire dans Telegram. Aujourd’hui, j’ai partagé avec vous l’histoire de la façon dont j’en ai trouvé 13, certains avec un impact plus élevé que d’autres mais tous qui ont été rapidement corrigés par Telegram.
Telegram a peut-être agi rapidement pour corriger les vulnérabilités exposées, mais leur existence en premier lieu est un coup dur pour la réputation de l’application, d’autant plus qu’elle se présente comme une alternative sécurisée à WhatsApp.
Cependant, la fonction de chat secret de Telegram n’est pas étrangère aux problèmes de confidentialité. Il a été découvert la semaine dernière que les messages audio et vidéo autodestructeurs étaient toujours accessibles au-delà de leur expiration, grâce à un bogue dans l’application macOS.
L’application a fait l’objet d’un examen minutieux ces derniers temps en tant que foyer d’utilisateurs d’extrême droite, attirés par le service en raison de son cryptage et de sa faible modération. À la suite de la mise à jour impopulaire de la politique de confidentialité de WhatsApp, de nombreux utilisateurs ont cherché un autre messager et 25 millions de nouveaux utilisateurs se sont inscrits sur Telegram à la suite des événements de l’émeute du Capitole américain. Telegram est également devenu un refuge pour les personnes évincées des services concurrents, comme Facebook, Twitter et Parler – bien que ce dernier ait récemment repris le service.