Naplózási bug került a Telegram MacOS verziójába

Valószínűleg hallottál már a milliók által használt titkosított csevegőalkalmazásról, a Telegramról.

Bár az app erős titkosítást és anonimitást kínál, egy orosz kutató nagyon komoly biztonsági hibát talált a MacOS-es kliensben.

Ha használtál Telegram Messengert Mac-en, mindenképp olvass tovább, de ha nem, akkor is érdekes lehet tudnod a problémáról!

A felfedezés

Kirill Firsov július 23-án hozta nyilvánosságra a felfedezett hibát, amivel azonnal szembesítette a Telegram CEO-ját Twitteren.

Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0

— Kirill Firsov (@k_firsov) 2016. július 23.

Ahogy a képen is látszik, a MacOS-es app minden vágólapról beillesztett szöveget továbbított a rendszernaplóba, még akkor is, ha azt a titkos chatben küldte valakinek.

Mi történt ez után?

A Telegram vezérigazgatója szerint ez csak egy „kis” hiba, nem jelent komoly biztonsági kockázatot, és azonnal javították is.

De miért is lehetne komoly egy ilyen hiba? Tényleg veszélyt jelenthet az, hogy a rendszernaplóba minden vágólapról beillesztett Telegram üzenet bekerült?

Természetesen ezt neked kell eldöntened, de szerintünk komoly hibáról van szó.

Bár a beillesztett szövegek nem hagyták el a számítógépet titkosítatlan formában, a rendszernaplóba titkosítás nélkül kerültek be. A Telegram álláspontja szerint minden program hozzáfér a vágólaphoz, így a probléma nem jelentős.

Azonban ahogy Kirill mellett több kommentelő is megjegyezte, a rendszernaplóval szemben a vágólap egy ideiglenes hely. Ha a számítógép újraindul, a vágólap tartalma elveszik. A rendszernapló azonban megmarad. Sőt, cégek esetén nem ritka dolog, hogy a rendszergazdák minden nap végén begyűjtik a naplófájlokat.

Gondolj bele, mikor használjuk leggyakrabban a másolás-beillesztés funkciókat? Általában akkor, ha valami hosszú vagy bonyolult dolgot szeretnénk tovább küldeni. Mint például egy biztonságos, bonyolult jelszót. Ráadásul a Telegram legfőbb előnye a titkosított chat által nyújtott biztonság, miért is ne oszthatnál meg itt mondjuk jelszavakat?

Azt is érdemes megjegyezni, hogy Kirill tweetje után azonnal javították a hibát, és frissítették az alkalmazást, ami egy „nem jelentős” bug esetén azért nem mindennapos.

Bár a klienst gyorsan javították, a már naplózott szövegek még mindig a rendszernaplóban maradtak, titkosítás nélkül. Tehát ha valaha Telegram Messengert használtál bizalmas információ vagy jelszavak megosztására Mac-en, akkor azok az információk valószínűleg mind ott vannak a naplófájlokban.

Ha valaki hozzáfér a számítógépedhez, és lementi ezeket a fájlokat, gond nélkül elolvashatja a Telegramra beillesztett titkos üzeneteidet is.

Mit lehet ilyenkor csinálni?

Az első és legfontosabb, hogy a Telegram azonnal javította a hibát, és frissítette a kliensprogramot.

Csak a Telegram applikáció MacOS-es változata esetén beszélhetünk ilyen bugról, a Telegram Desktop alkalmazás nem érintett.

@galnikrom @durov this only works when you paste something in the conversation window (you don't even have to press the "Send" button)

— Kirill Firsov (@k_firsov) 2016. július 24.

Fontos az is, hogy „csak” a vágólapról beillesztett üzenetek tárolódtak el a naplóban. Ha egyszerűen begépeltél valamit, azt nem jegyezte meg a rendszer.

Azonban ha úgy használtad a Telegram chatet, hogy a legkisebb esélye is megvan annak, hogy az üzeneteid titkosítatlanul tárolódtak a gépeden, érdemes elgondolkodnod a rendszernaplók törlésén.

Bár ez a bug aggasztó, semmiképp nem jelenti azt, hogy nem érdemes titkosított csevegőalkalmazásokat használni. Több tucat érvet lehet felsorakoztatni amellett, hogy miért van szükség titkosításra, illetve mi számíthat bizalmas üzenetnek.