Telegram Messenger üzerindeki bir hata kullanıcıların uçtan uca şifrelemeli secret chat modunda sohbet etseler bile, sohbet alanına yapıştırdığı herşeyin macOS üzerindeki sistem loglarına kaydedildiğini tespit edildi.
Bu açık geçtiğimiz ayın başlarında Rus infosec firması çalışanı Kirill Firsov tarafından bulundu. Bulduğu açığı doğrudan ve kamuya açık bir şekikde telegram kurucusu ve başkanı Pavel Durov’a gönderdi.
Official #Telegram for MacOS logs every pasted message to syslog, even in secret chats. @durov what's going on? pic.twitter.com/MvbWguAkT0
— Kirill Firsov (@k_firsov) 23 Temmuz 2016
Pavel Durov ise yanıt vermekte gecikmedi. Durov, böyle bir durumun var olduğunu itiraf etti. Ancak, bunun sadece kopyala-yapıştır yapılan metinlerde olduğu, bunun telegram ile ilgili bir hata değil, tüm Mac uygulamalarına açık olduğu konusunda ısrar etti.
Açıklamalarına, “İmzasız uygulamalar dahil, 10.12 sürümünden itibaren AppStore uygulamaları sistem loğlarına erişemez, ancak herhangi bir bir uygulama panoya kopyalanan içerikleri okuyabilir.” şeklinde devam etti.
Durov, Firsov’un tweetine cevap olarak, “Kopyalama ve yapıştırma artık güvenli değil.” dedi ve loglama sorununun çözümü için bir söz verdi.
@k_firsov (3)… AppStore apps are sandboxed and can only WRITE to syslog, not READ it: https://t.co/vjoU8QVtza pic.twitter.com/1tgPMDBfak
— Pavel Durov (@durov) 24 Temmuz 2016
Bazı infosec uzmanları bu iddialar hakkında uyarılarda bulunsalar da, Telegram WhatsApp’tan daha güvenli olması sebebiyle övgü almaya devam ediyor. Servis, Rusya doğumlu kurucu Durov tarafından geliştirilen MTProto protokolünü kullanıyor. Mutlakıyetçi bir gizlilik temelinde çalışıyor ve uygulamada secret chat olarak anılan, uçtan uca şifrelemeyle çalışan chat bulutta yedeklenemiyor.
Uygulama son yıllarda beklenmedik şekilde dikkat çekmeye ve yaygınlaşmaya başladı. Ancak, bir süre sonra terör örgütlerinin birbiriyle ve dış dünya ile irtibatta kalmak için en popüler yol olduğu saptandı. Güvenlik firması Trend Micro’nun son çalışmasında bu tür grupların yüzde 34’ünün iletişim bilgilerinin Telegram’da yer aldığı belirtildi.
2015’in sonlarında, Telegram tarafından yapılan açıklamada 78 public channel’ın IŞİD terör organizasyonu ile ilişkisi tespit edildiğinden kapatıldığına dikkat çekildi. Telegram yetkilileri, “Biz Telegram public kanallarının, teör örgütü IŞİD tarafından propagandalarını yaymak için kullanmasından son derece rahatsızız.” dedi.
Uygulamanın SSS bölümünde, “Biz teröristlerin (örneğin IŞİD kaynaklı) bot ve kanallarını engelleriz, ancak barışçıl alternatif görüşler ifade eden kimseyi engellemeyiz.” ifadelerine yer veriliyor.