モバイルメッセージングアプリのTelegramは、ユーザーが他人からの「未送信」の写真や動画を復元できるバグを修正した。
1億人以上のユーザーを持つTelegramには、ユーザーが誤ってメッセージを送信した場合などに、他のユーザーの受信ボックスから送信されたメッセージを「未送信」にできる機能がある。
しかし、セキュリティ研究者のDhiraj Mishra(ディラジ・ミシュラ)氏はこの機能に関するプライバシーの問題を発見し、TechCrunchに独占公開している。Telegramはユーザーの端末からはメッセージを削除するものの、送信された写真やビデオはユーザーのスマートフォンに保存されているのだ。
WhatsAppのような他のメッセージングアプリにも同じような「未送信」機能があったが、こちらはテストしたところ、メッセージとコンテンツの両方が削除された。
ミシュラ氏によると、Android版のTelegramは写真や動画をスマートフォンの内部ストレージに恒久的に保存する仕様だという。
「これはグループ会話にも当てはまります」とミシュラ氏はTechCrunchに語った。「もし10万人のTelegramグループがあり、誤ってメディアメッセージを送信して削除した場合、チャットからは削除されるが10万人全員のスマートフォンのストレージには残る」と同氏は伝えている。
Telegramのユーザーが、プライバシー問題の影響を受けたかどうかは不明だ。しかし最近、他人から送られてきたスマートフォン内のコンテンツのために、米国への入国を拒否されたビザ保持者の事例があるのは気になる点だ。
TechCrunchが連絡を取った後、Telegramはこの脆弱性を修正した。ミシュラ氏はこの脆弱性を発見して公表したことで、バグに対する報奨金の2500ユーロ(約30万円)を受け取った。
Telegramの広報担当者は、このバグ修正が9月5日にロールアウトされたことを認めた。
[原文へ]
(翻訳:塚本直樹 Twitter)