La storia delle chat Telegram vulnerabili per colpa degli adesivi

Chat Telegram protette da crittografia end-to-end non vuol dire la segretezza totale, almeno secondo quanto stabilito dagli esperti di cybersecurity di Shielder, azienda specializzata in sicurezza informatica. Un bug Telegram – ora risolto – avrebbe permesso di entrare nelle chat protette e avere accesso a messaggi, foto e video scambiati inviando solamente un adesivo. Erano proprio gli adesivi Telegram a rendere le chat segrete vulnerabili prima che la questione venisse risolta.

LEGGI ANCHE >>> Con l’app Dm Me a partire dal contatto si sceglie se chattare con Whatsapp, Telegram o Signal

Chat segrete non così segrete per colpa degli adesivi Telegram

🎉 Our big 2020 research is finally public 🎉

Discover how @polict_ went from close-to-0 knowledge in fuzzing to crafting 13 0-days in @Telegram!https://t.co/sXZ5MM8BYw

— Shielder (@ShielderSec) February 16, 2021

Il bug che ha reso possibile introdursi anche nelle chat protette da crittografia end-to-end è stato sistemato ma, secondo gli esperti di Shielder, ha reso possibile avere accesso ai contenuti scambiati in queste conversazioni. Come? Tramite l’invio di un semplice adesivo animato a un utente Telegram. Introdotti da Telegram nel 2019, dagli adesivi è partita l’analisi che ha portato a scoprire questa storia. Sapendo come fare – quando ancora la situazione non era stata sistemata – chiunque avrebbe potuto sfruttare quel difetto per avere accesso a tutto il materiale scambiato in una chat semplicemente inviando un adesivo in quella conversazione.

Bug Telegram, come è stato scoperto

Gli esperti di sicurezza di Shielder hanno spiegato, come sottolinea Wired, che partendo dalla cartella rlottie – grazie alla quale Telegram riproduce le animazioni dei suoi adesivi -hanno individuato tredici vulnerabilità. Questa cartella, che Telegram ha riciclato aumentando le possibilità di essere attaccato, era originariamente una libreria nativa di Samsung utilizzata per riprodurre le animazioni Lottie create da Airbnb. Tramite il fuzzing – una tecnica che viene usata per individuare errori o falle nella sicurezza di un software e che consiste nell’invio di dati casuali per mandare in crash – Shielder ha carpito questa gravissima vulnerabilità legata all’invio di un solo adesivo animato che, in sostanza, andava a interrompere la crittografia end-to-end delle chat segrete. Il problema è stato risolto dopo la segnalazione, adesso, ogni adesivo animato ricevuto in una chat segreta viene consegnato solamente se è stato precedentemente approvato e non ritenuto dannoso per la crittografia dalla piattaforma stessa.