Forwarded from Security News for Everyone
La versión de escritorio de Telegram guarda conversaciones en local en texto plano
Al igual que con Signal, la aplicación de mensajería de Telegram falla a la hora de proteger el contenido de chats localmente, ofreciendo un acceso a conversaciones y archivos en texto plano que viajan encriptadas.
A pesar de esto, hay una característica que otorga la completa privacidad de los usuarios para comunicarse llamada "chats secretos". Esta opción realiza una encriptación punto a punto para garantizar el acceso únicamente a los participantes de la conversación.
Todas estas precauciones son buenas para asegurarse de que no se intercepte la información, aunque es relativamente fácil acceder a los datos almacenados localmente en el escritorio.
Nathaniel Suchy fue capaz de ver el contenido de los mensajes de la base de datos de la aplicación, afirmando que Telegram usa una base de datos de SQLite díficil de leer para guardar mensajes.
Analizando los datos convertidos en un formato más sencillo de visualizar, Suchy también encontró nombres y números de teléfono que podrían estar corelacionados el uno con el otro. Aunque esto sea posible, la información no es fácil de leer pero scripts costumizados podrían destacar los detalles importantes más facilmente para automatizar la extracción haciéndolos más legibles.
Telegram no encripta su base de datos en el sistema al igual que Signal, dejando los mensajes en texto plano. Telegram proporciona contraseñas para protegerlo de accesos no autorizados pero esto no encripta la base de datos. De esta forma se podría seguir leyendo el contenido de los chats.
El investigador también probó los "chats secretos" en los que los mensajes resultan llegar a la misma base de datos a pesar de ser algo exclusivo de móvil, aunque se beneficien de la encriptación punto a punto.
En cuanto al contenido multimedia, tampoco parece que cambie la situación siendo la ofuscación la única protección contra su extracción. Suchy cambió la extensión de una imágen para poder verla.
Guardar datos en texto plano no es algo que debemos esperar de aplicaciones seguras. Telegram y Signal ambos contestaron que encriptar los ratos almacenados no es algo que la aplicación de escritorio intenta proveer.
Para proteger los datos localmente, debemos encriptar el disco duro entero, siendo posible en Windows con BitLocker y en macOS con FileVault. En Linux también se puede realizar esto, durante la instalación varias distribuciones ofrecen la posibilidad.
BleepingComputer trató de contactar con el equipo de Telegram pero no recibieron ninguna respuesta a la hora de publicar la noticia. Las capturas correspondientes las podemos ver en el artículo. Según los comunicados que se den de parte de ambas empresas se iran actualizando las noticias en las páginas web.
#Telegram #Signal #TelegramDesktop #Encriptacion
Fuente en inglés:
https://www.bleepingcomputer.com/news/security/telegram-desktop-saves-conversations-locally-in-plain-text/
Al igual que con Signal, la aplicación de mensajería de Telegram falla a la hora de proteger el contenido de chats localmente, ofreciendo un acceso a conversaciones y archivos en texto plano que viajan encriptadas.
A pesar de esto, hay una característica que otorga la completa privacidad de los usuarios para comunicarse llamada "chats secretos". Esta opción realiza una encriptación punto a punto para garantizar el acceso únicamente a los participantes de la conversación.
Todas estas precauciones son buenas para asegurarse de que no se intercepte la información, aunque es relativamente fácil acceder a los datos almacenados localmente en el escritorio.
Nathaniel Suchy fue capaz de ver el contenido de los mensajes de la base de datos de la aplicación, afirmando que Telegram usa una base de datos de SQLite díficil de leer para guardar mensajes.
Analizando los datos convertidos en un formato más sencillo de visualizar, Suchy también encontró nombres y números de teléfono que podrían estar corelacionados el uno con el otro. Aunque esto sea posible, la información no es fácil de leer pero scripts costumizados podrían destacar los detalles importantes más facilmente para automatizar la extracción haciéndolos más legibles.
Telegram no encripta su base de datos en el sistema al igual que Signal, dejando los mensajes en texto plano. Telegram proporciona contraseñas para protegerlo de accesos no autorizados pero esto no encripta la base de datos. De esta forma se podría seguir leyendo el contenido de los chats.
El investigador también probó los "chats secretos" en los que los mensajes resultan llegar a la misma base de datos a pesar de ser algo exclusivo de móvil, aunque se beneficien de la encriptación punto a punto.
En cuanto al contenido multimedia, tampoco parece que cambie la situación siendo la ofuscación la única protección contra su extracción. Suchy cambió la extensión de una imágen para poder verla.
Guardar datos en texto plano no es algo que debemos esperar de aplicaciones seguras. Telegram y Signal ambos contestaron que encriptar los ratos almacenados no es algo que la aplicación de escritorio intenta proveer.
Para proteger los datos localmente, debemos encriptar el disco duro entero, siendo posible en Windows con BitLocker y en macOS con FileVault. En Linux también se puede realizar esto, durante la instalación varias distribuciones ofrecen la posibilidad.
BleepingComputer trató de contactar con el equipo de Telegram pero no recibieron ninguna respuesta a la hora de publicar la noticia. Las capturas correspondientes las podemos ver en el artículo. Según los comunicados que se den de parte de ambas empresas se iran actualizando las noticias en las páginas web.
#Telegram #Signal #TelegramDesktop #Encriptacion
Fuente en inglés:
https://www.bleepingcomputer.com/news/security/telegram-desktop-saves-conversations-locally-in-plain-text/
BleepingComputer
Telegram Desktop Saves Conversations Locally in Plain Text
The desktop variant for Telegram secure messaging app fails to protect chat content locally, offering access to plain text conversations and media that otherwise travel encrypted..