Telegram, sicurezza e vulnerabilità: c’è un grave problema di trasparenza?

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Telegram, sicurezza, bug che possono mettere a rischio l’immagine di “app di chat sicura che l’applicazione ha faticosamente (ma non perfettamente) costruito in questi anni. Ci sono tutti gli ingredienti per una storia torbida, di quelle che solitamente è il CEO di Telegram, Pavel Durov, a denunciare sul suo canale Telegram da oltre 600mila membri a danno di app di chat concorrenti – ma che questa volta coinvolgono Telegram direttamente.

Stando alle testimonianze di due ricercatori indipendenti, Telegram avrebbe infatti un problema di trasparenza, accentuata dalla tradizionale difficoltà da parte di corpi esterni all’applicazione di rimanere in contatto con il team dell’app.

Telegram, sicurezza, bug e soldi: siete pronti per scoprire cosa bisogna sapere su questa faccenda?

TELEGRAM, SICUREZZA, BUG: L’APPLICAZIONE NON VUOLE CHE SI CONOSCANO I SUOI PROBLEMI?

Wanted – dead or alive”. Quante volte avete visto un simile annuncio, appeso nelle bacheche degli uffici degli sceriffi nei film ambientati nel Far West? Un sistema di taglie regolava negli Stati Uniti dell’Ottocento la strategia di contenimento del fenomeno dei “fuorilegge” e oggi, in un Far West molto simile, il cyberspazio, si muovono i programmi di bug bounty.

Questi programmi sono istituiti dalle aziende tecnologiche per premiare quegli sviluppatori che, dopo aver individuato una falla di sicurezza, provvedono a segnalarla perché venga risolta (in gergo, “patchata”). Simili programmi si sono rivelati fondamentali nel corso del tempo per scoraggiare la rivendita clandestina delle vulnerabilità nei mercati digitali del dark web, dove hacker e approfittatori senza scrupoli non perderebbero tempo a guadagnarsi, tramite un sistema di aste virtuali, la vulnerabilità più distruttiva.

Come molte altre realtà tecnologiche, anche Telegram dispone di un suo programma di bug bounty. Ospitato su HackerOne, piattaforma di coordinamento per questo genere di attività, Telegram offre ricompense monetarie per chiunque segnali una problematica di sicurezza relativa al codice dell’applicazione per Android, iOS o altri sistemi operativi. Ma è davvero così?

Stando a quello che dice Dimitrii, sviluppatore indipendente, no. O, almeno, non del tutto. In un post pubblicato su Habr.com, Dimitrii racconta una storia di Telegram, sicurezza e bug che segnala un fondamentale problema di trasparenza.

Il tutto inizia nel febbraio 2021, quando Telegram rilascia la funzionalità di auto-eliminazione dei messaggi. Stando al comunicato stampa ufficiale, la funzione permette di cancellare tutti i contenuti di una chat allo scadere di un timer impostato dall’utente. Dimitrii, dopo alcuni test, scopre tuttavia che alcuni messaggi – i più importanti, forse: quelli contenenti un’immagine – non vengono davvero cancellati, ma rimangono nelle cache del dispositivo benché visivamente il messaggio sembra che sia stato effettivamente eliminato.

Dimitrii contatta Telegram tramite la piattaforma HackerOne, segnalando la vulnerabilità, il marzo successivo; l’azienda però impiega ben tre mesi prima di rispondere adeguatamente alla segnalazione di Dimitrii e procedere con la valutazione della vulnerabilità. Finalmente, agli inizi di agosto inizia il testing vero e proprio con un rappresentante dell’ufficio tecnico dell’app chiamato “Nikolay” – che possiamo assumere fosse lo stesso Nikolay responsabile dello sviluppo dell’app per Android di Telegram, che ha da poco lasciato la compagnia.

La vulnerabilità viene risolta con una release prevista per settembre; per il suo contributo, a Dimitrii viene proposto un compenso di 1.000€. Nel contratto che Dimitrii avrebbe dovuto tuttavia firmare per ricevere il pagamento, viene specificato che lo sviluppatore non avrebbe avuto il permesso di parlare della vulnerabilità pubblicamente a meno di non ricevere un permesso scritto da Telegram.

TELEGRAM, SICUREZZA E VULNERABILITÀ: UN PROBLEMA DI TRASPARENZA

Qui iniziano i problemi di trasparenza che Dimitrii segnala nel suo post. Normalmente infatti le vulnerabilità che vengono risolte tramite i programmi di bug bounty vengono rese note al pubblico dopo un certo periodo dalla loro risoluzione – generalmente, dai 60 ai 90 giorni. Tale lasso di tempo viene conteggiato quale sufficiente precauzione per permettere al maggior numero possibile di utenti di scaricare l’aggiornamento correttivo, la “patch”, e non incorrere così in rischi ulteriori.

La pubblicazione dei dettagli in merito alla vulnerabilità è necessaria per varie ragioni: per lo sviluppatore che ha contribuito a individuarla è un modo per aumentare la propria autorevolezza nel settore; per l’azienda che l’ha risolta è un segnale di trasparenza nei confronti della propria utenza.

Ciò detto, non esiste veramente un obbligo da parte delle aziende tecnologiche a riconoscere pubblicamente le vulnerabilità. Ovviamente, Telegram non infrange alcuna legge proponendo un simile contratto agli sviluppatori per le bug bounty – tuttavia ci porta a domandarci quanti problemi di sicurezza siano stati effettivamente risolti senza che giungesse voce al grande pubblico, modificando di conseguenza la percezione di sicurezza che abbiamo di Telegram. Per parlare della vulnerabilità che ha risolto, Dimitrii ha infatti dovuto rinunciare ai 1.000€ promessi dal programma di bug bounty.

Simili situazioni possono a lungo termine danneggiare Telegram e la sua base d’utenza. Dimitrii si è infatti lamentato del muro di gomma che il team di Telegram gli ha opposto, rendendo molto difficile comunicare con un responsabile per la segnalazione della vulnerabilità; visto il risultato, c’è da chiedersi quanti sviluppatori preferirebbero vendere le proprie scoperte altrove che segnalarle all’app.

Telegram non è l’unica azienda ad avere un problema con i ricercatori: Apple è infatti nota per il suo inesistente programma di bug bounty, tanto che molte vulnerabilità per dispositivi iPhone sono in vendita presso aziende che sviluppano malware per agenzie di spionaggio, come l’israeliana NSO. Per risolvere la problematica, Apple ha assunto un nuovo manager per rivoluzionare il programma di bug bounty. Forse Telegram dovrebbe fare lo stesso? 

Cosa ne pensate? Venite a parlarne sul nostro gruppo @appelmeggiando, saremo felici di ascoltare la vostra opinione!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Via Ars Technica
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//