Revés para la empresa que hacía de la seguridad de su servicio de mensajería la bandera de su oferta frente a WhatsApp. Aunque no está tan extendido como el servicio americano, Telegram tiene ya un nutrido de entusiastas seguidores que ahora esperan respuesta por parte de la compañía que ayer hacía este fallo público.
La «hazaña» tiene nombre y apellidos Zuk Avaraham de Zimperium Mobile Security quien recogía el guante de Telegram que había puesto en sendos retos que aún no habían tenido ganador, la empresa rusa había puesto un premio de 300.000 y 200.000 dólares como suculenta recompensa que nadie se había llevado para quien fuera capaz de interceptar y leer un mensaje entre dos usuarios utilizando cualquier tipo de ataque o método de manipulación del tráfico entre ambos interlocutores.
Telegram, al final, también ha caído
Avaraham lograba hacerlo el pasado 17 de enero, pero como en todos estos casos, las compañías se guardan un tiempo prudencial de un mes, o tras cinco intentos de contacto en los que haya cinco días laborales entre ellos, en el que los investigadores no pueden hacer públicos sus hallazgos después de comunicárselos, para poder estudiar el problema y solventarlo una vez salga a la luz.
Pero en esta ocasión, Telegram ha hecho, por lo que parece, oídos sordos a la advertencia de este experto de Zimperium que, pasado el plazo, ha hecho público tanto el método como el fallo que ha encontrado en la aplicación de mensajería que recordemos está en iOS, Android, Windows Phone además de ofrecer versiones de escritorio para Windows, Linux y Mac.
En concreto, lo Avaraham explica que ha partido de la premisa de que los «hackers» no juegan limpio y ha utilizado un exploit del Kernel de Linux conocido como TowelRoot para obtener privilegios en la máquina que trataba de atacar para extraer el proceso de memoria de Telegram. Con este acceso ha encontrado unos archivos en la base de datos SQL de la aplicación llamada «Cache4.db» que parece que incluye las tablas del contenido cifrado, entre las que se encuentran las claves para descifrar las comunicaciones. El investigador explica que ha sido capaz, incluso, de recuperar mensajes que habían sido, supuestamente, borrados por la función que tiene Telegram de «autodestrucción» de los mensajes.
Sin respuesta oficial aún
Aún se espera la respuesta de Telegram ante estos datos que, seguro, están estudiando. Está claro que para el usuario medio, diferencia hay poca pero en términos de imagen, de momento, no se puede decir que este servicio de mensajería sea ya invulnerable.
ACTUALIZACIÓN:
Telegram se ha puesto en contacto con nosotros para matizar este caso y su postura. Desde la compañía indican que el punto clave, como ya se ha comentado, es que se necesita el acceso root al dispositivo, algo que haría que ninguna app «pudiera ser segura». Un atacante con acceso root puede leer la memoria del dispositivo y las manipulaciones de los archivos en la base de datos se hacen innecesarios.
Afirman que ninguna aplicación Android puede asegurar la protección de datos ante usuarios con acceso root y las vulnerabilidades que lo permiten sólo pueden ser reparadas por Google, en este caso. Indican según su opinión, finalmente, que la intención de Zimperium Mobile Security es hacer publicidad de sus servicios y captar la atención induciendo a titulares erróneos.