Investigador reporta vulnerabilidad de Telegram, este le niega recompensa

Iniciado por AXCESS, Octubre 12, 2021, 10:24:24 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un investigador descubrió una vulnerabilidad grave en la función de mensajes de autodestrucción de Telegram, dejando mensajes eliminados en el caché. Si bien Telegram corrigió la falla, no recompensó adecuadamente al investigador por el informe del error.

Vulnerabilidad de Telegram en la función "Autodestrucción"

Al elaborar los detalles en una publicación de blog, el investigador de seguridad Dmitrii descubrió cómo la vulnerabilidad en la función de autodestrucción permitió a los usuarios de Telegram recuperar datos eliminados.

Mientras inspeccionaba el cliente de Telegram para Android poco después del lanzamiento de la actualización de autodestrucción, el investigador descubrió que la función de autodestrucción solo funcionaría visualmente a nivel de la aplicación. En realidad, los mensajes eliminados permanecerían en la carpeta del dispositivo / Almacenamiento / Emulado / 0 / Telegram / Telegram Image.

El investigador probó la vulnerabilidad configurando el temporizador de autodestrucción durante 24 horas. Como se observó, la imagen enviada y luego eliminada permaneció en la memoria caché del dispositivo tanto en el extremo del remitente como en el del receptor. Dmitrii evaluó esta función en varios dispositivos que se ejecutan en Android 7 a 10 y obtendría los mismos resultados.

El siguiente video demuestra el exploit.



Como se mencionó, este es un error diferente pero similar al CVE-2019-16248 reportado anteriormente (y corregido) reportado en 2019.

Al Investigador se le negó la recompensa

Al descubrir la vulnerabilidad, el investigador se acercó a los funcionarios de Telegram. Sin embargo, explicó que el servicio no respondió adecuadamente.

Específicamente, Dmitrii informó del error a Telegram en marzo de 2021, que la firma incluso reconoció. Sin embargo, no solucionó el error durante varios meses a pesar de las actualizaciones periódicas para el cliente de Telegram.

El investigador no dejaba de recordar la vulnerabilidad a los funcionarios de Telegram.

Finalmente, el servicio solucionó el error en una versión beta posterior lanzada en agosto de 2021 que confirmó el investigador.

No obstante, los problemas comenzaron cuando Telegram intentó impedir que el investigador revelara la vulnerabilidad en el momento de recompensar el reporte del error, incluso después de la corrección.

En respuesta, el investigador envió algunas preguntas a Telegram sobre el acuerdo que se suponía que debía firmar, pero Dmitrii nunca obtuvo respuesta.

El investigador incluso notó que se le ofrecía una recompensa menor (1000 euros) por el error que la que ofrecía el servicio anteriormente por un defecto similar (2500 euros).

Finalmente, el investigador siguió adelante con la divulgación pública completa de esta vulnerabilidad CVE-2021-41861.

Los usuarios deben asegurarse de usar al menos la versión 7.8 de la aplicación Telegram que incluye la solución. (Sin embargo, Telegram no ha mencionado ninguna corrección de errores en el registro de cambios).

Además, el investigador aconsejó a los usuarios que no confiaran en la función de autodestrucción para la privacidad de los medios. En su lugar, los usuarios deben optar por la eliminación manual de los mensajes que no quieren que el destinatario retenga.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta noticia hay que cogerla mucho mucho, muchísimo con pinzas.

En primer lugar el titulo de la noticia dice que Telegram le niega la recompensa, pero dentro de la noticia comenta como efectivamente le dio una recompensa de 1000$, lo cual por el fallo que encontró en Bug Bounties es totalmente razonable, y aunque le pareciera poco en ningún momento se le negó la recompensa.

En segundo lugar, cualquier persona que hay hecho Bug Bounties sabe que una vez encontrada la vulnerabilidad si la empresa no quiere no se debería de publicar, tú puedes pedir permiso y según la empresa y las condiciones del momento te dirán si puedes o no puedes hacerlo.

Mala actitud por parte del Bug Hounter, en mi opinión no hay noticia.

Un saludo.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta