La questione della sicurezza dei dati è diventata sempre più importante nell’ultimo periodo. Ha fatto notizia la decisione di WhatsApp di cambiare la sua privacy policy unilateralmente. Molti utenti si sono quindi rivolti ad altre applicazioni per le proprie chat private. Telegram, ma soprattutto la più giovane Signal, hanno visto un’importante crescita nei download e nell’utilizzo di tutti i giorni.
Soprattutto Telegram ha da sempre fatto della crittografia end-to-end uno dei suoi cavalli di battaglia. Ma questo non sempre è vero, purtroppo. A sfatare il ‘mito’ dell’inviolabilità dell’app di messaggistica russa una società di cybersecurity che rileva un bug molto pericoloso.
Telegram è sicuro ma non troppo, basta uno sticker e la chat diventa vulnerabile. Questo è il bug scoperto dalla società Shielder, specializzata in sicurezza informatica. Il problema risale al 2019, ed è stato ormai risolto, ma si tratta comunque di una fuga di dati importante, come quella rilevata anche su altre piattaforme nello stesso periodo. Ironico che, in quei casi, i dati rubati agli utenti siano stati poi venduti proprio su Telegram, come la Redazione di ProiezionidiBorsa aveva già riportato ai lettori.
Ma come funzionava questo bug?
Era estremamente semplice sfruttarlo. Bastava inviare un semplice sticker, un adesivo animato che tanto caratterizzano l’app di messaggistica blu. Quando non era ancora stato rilasciato l’aggiornamento per risolvere il problema, chiunque avesse saputo come fare avrebbe potuto sfruttare quel difetto di programmazione per rubare l’intera cronologia di una chat con tutti i dati collegati.
Per scoprire che Telegram è sicuro ma non troppo, gli esperti di Shielder hanno lavorato a partire da una cartella di sistema nella quale l’applicazione riproduce le animazioni dei suoi adesivi. In questa cartella hanno individuato ben tredici vulnerabilità.Com’è possibile? Presto detto: non si tratta di una cartella creata ex novo, ma di una cartella ‘riciclata’ e utilizzata anche da altre applicazioni installate nei sistemi Android. Gli esperti hanno utilizzato una tecnica chiamata fuzzing per individuare questo problema pericoloso. Un bug nel sistema altrimenti molto ben fatto dell’applicazione di chat, risolto subito dopo la segnalazione.
Se anche questi dati rubati sono finiti in uno dei tanti database che vendono informazioni private degli utenti su internet, non è dato saperlo. Gli esperti della redazione continueranno a monitorare la situazione e ad avvisare prontamente i lettori.
