Leyes de la naturaleza. También he reparado en otra ley de la naturaleza: cuanto más alegre es mi vida, más sombríos son los relatos que escribo.(De Antón Chejov para Aleksandra Jotiainzeva, Niza, 26 de noviembre de 1897.)
Si alguna vez compartiste tu pantalla de Telegram y usaste spoilers para ocultar información, tengo malas noticias: tu texto oculto podría ser robado.
Si alguna vez ocultaste contraseñas u otra información confidencial en un spoiler de Telegram, ¡ahora es un buen momento para cambiarla!
¿El problema? Normalmente, un spoiler se muestra como un ruido animado y solo se revela al tocarlo. Pero en algunas partes del cliente de Telegram para macOS funciona de forma diferente; por ejemplo, el último mensaje de la lista de chats y el mensaje fijado usan un método alternativo que convierte el texto en caracteres pseudo-Braille con una correspondencia unidireccional.
El código:
https://github.com/overtake/TelegramSwift/blob/579cebbf0c01fd41b712eff3647fa7f69db9665d/Telegram-Mac/Extensions.swift#L1805
Esta transformación no es matemáticamente invertible, pero en la práctica solemos conocer el idioma y, aproximadamente, los símbolos que usa la persona. Por lo tanto, se puede adivinar y recuperar el texto original mediante un análisis de fuerza bruta limitado de los caracteres más probables.
Codificador/decodificador de prueba de concepto:
https://github.com/rawrdcore/tg-hidden-messages-decoder
Muchísimas gracias a @dalmatrix por investigar y documentar (https://t.me/rawrdcore/74) el problema de privacidad.
Que te diviertas!
Si alguna vez ocultaste contraseñas u otra información confidencial en un spoiler de Telegram, ¡ahora es un buen momento para cambiarla!
¿El problema? Normalmente, un spoiler se muestra como un ruido animado y solo se revela al tocarlo. Pero en algunas partes del cliente de Telegram para macOS funciona de forma diferente; por ejemplo, el último mensaje de la lista de chats y el mensaje fijado usan un método alternativo que convierte el texto en caracteres pseudo-Braille con una correspondencia unidireccional.
El código:
https://github.com/overtake/TelegramSwift/blob/579cebbf0c01fd41b712eff3647fa7f69db9665d/Telegram-Mac/Extensions.swift#L1805
Esta transformación no es matemáticamente invertible, pero en la práctica solemos conocer el idioma y, aproximadamente, los símbolos que usa la persona. Por lo tanto, se puede adivinar y recuperar el texto original mediante un análisis de fuerza bruta limitado de los caracteres más probables.
Codificador/decodificador de prueba de concepto:
https://github.com/rawrdcore/tg-hidden-messages-decoder
Muchísimas gracias a @dalmatrix por investigar y documentar (https://t.me/rawrdcore/74) el problema de privacidad.
Que te diviertas!
Entradas
No hay comentarios:
Publicar un comentario