Исследователь отказался от награды..

Исследователь отказался от награды telegram и раскрыл секрет самоуничтожающихся фотографий

В мессенджере Telegram месяцами существовал баг, благодаря которому самоуничтожающиеся изображения продолжали храниться даже после их исчезновения из чата. Об это рассказал интернет-сообществу белый хакер, в своё время обнаруживший проблему.

arstechnica.com

Как и у других мессенджеров, в Telegram давно существует функция, позволяющая автоматически удалять сообщения и любые прикреплённые файлы через заданный период. В феврале 2021 года Telegram объявила о присутствии соответствующих функций в новом релизе. Автоудаление может осуществляться через 24 часа, неделю или месяц после отправки данных.

Для настройки соответствующих функций достаточно открыть чат, выбрать Очистить историюи настроить Автоудаление сообщений в этом чате. Пользователь Дмитрий обнаружил, что в версии для Android сообщения из частных и групповых чатов исчезали только визуально, при этом сохраняясь в кэше.

Как сообщает портал Ars Technica, уязвимость CVE-2021-41861 присутствует в версиях приложений с 7.5.0 по 7.8.0, сообщения и изображения сохраняются в директории /Storage/Emulated/0/Telegram/Telegram Image как минимум ещё на некоторое время после заявленного удаления. При этом программа сообщает пользователю, что материалы полностью удалены.

Дмитрий попытался связаться с представителями Telegram в начале марта и после серии писем и сообщений (переписка продолжалась месяцами), компания связалась с ним в сентябре, подтвердив существование бага. В качестве награды Дмитрию были предложены 1000 евро.

Хотя многие компании предлагают белым хакерам награды за обнаруженные уязвимости, обычно разрешается рассказать о них через 60-90 дней, период оговаривается индивидуально.

Изучение предложенного контракта, отправленного по электронной почте, показало, что представители мессенджера требуют публиковать любые данные об уязвимости только с письменного разрешения Telegram. По данным Дмитрия, такие условия его не устроили. После этого компания начала игнорировать его, также он не получил никакой награды.

Известно, что в 2019 году за обнаружение похожей уязвимости исследователь получил от Telegram 2000 евро, но требуют ли от добровольных помощников подписывать какие-то документы о неразглашении достоверно неизвестно.

Сейчас в Google Play имеется версия Telegram v8.1.2, а баг, судя по всему, устранён в более ранних релизах мессенджера.

Видео

Программное обеспечение

rossiiskim-smi-zapretili-pokazyvat-logotipy-meta-facebook-i-instagram_1.jpg

Российским сми запретили показывать логотипы ...

  • Мар 22, 2022
  • 574

Российским средствам массовой информации запретили демонстрировать логотипы компании Meta Platforms*, а также принадлежащих ей социальных сетей Facebo...

Ноутбуки и ПК

prodazhi-noutbukov-na-mirovom-rynke-poshli-na-spad_1.jpg

Продажи ноутбуков на мировом рынке пошли на с...

  • Мар 22, 2022
  • 271

Исследование, проведённое аналитиками Digitimes Research, говорит о том, что поставки портативных компьютеров в глобальном масштабе по итогам февраля ...

Это интересно

Наверх