Así lo ha anunciado la empresa de ciberseguridad italiana Shielder, que ha descubierto que las versiones de Android, iOS y macOS estaban afectadas por este fallo que exponía los mensajes, fotos y vídeos enviados a través de chats secretos a los atacantes.
Vulnerabilidad en los chats secretos de Telegram
Los chats secretos de Telegram están cifrados de extremo a extremo, y sólo están disponibles desde el dispositivo desde el que se inician. Los chats normales utilizan la nube entre medias para poder usar los chats en varios dispositivos a la vez, donde el cifrado de la app es lo que garantiza que nadie nos va a espiar.
Por ello, es realmente grave que un fallo afecte a los chats secretos, ya que usan un cifrado que WhatsApp emplea por defecto en todos sus chats, donde sólo el emisor y el receptor pueden tener acceso a ellos. El fallo fue descubierto a mediados del año pasado, y fue parchado entre el 30 de septiembre y el 2 de octubre de 2020.
El fallo partía de la forma en la que funcionan los chats secretos y cómo se gestionan los stickers animados. Aprovechándola, los atacantes podían enviar stickers maliciosos a los usuarios y obtener acceso a sus mensajes, fotos y vídeos, tanto de los chats normales como de los chats privados. Ni siquiera poniéndole contraseña a los chats de Telegram se podían proteger.
Los stickers maliciosos, principales culpables
Para aprovecharlo, eso sí, los atacantes, tenían que utilizar otra vulnerabilidad complementaria para saltarse los mecanismos de defensa que tienen las aplicaciones de mensajería en la actualidad, pero el ataque era perfectamente viable.
La empresa Shielder está formada por cuatro jóvenes italianos de 24, 25, 28 y 28 años que comunicaron los fallos de seguridad a Telegram. A cambio de ellos, Telegram les ha pagado una recompensa por comunicarles este grave fallo de seguridad, el cual arreglaron con la mayor celeridad posible tras recibir el informe.
La semana pasada también apareció una vulnerabilidad que afectaba a los chats secretos de Telegram en macOS, donde era posible acceder a los archivos de audio y vídeo que se autodestruyen, así como recuperar mensajes borrados de Telegram. Hace 4 años, un fallo afectó por igual a Telegram y a WhatsApp, donde un atacante podía tomar el control de las versiones web de ambas apps tras enviar una imagen que contenía código malicioso.