Исследователь отказался от награды Telegram и раскрыл секрет «самоуничтожающихся» фотографий

В мессенджере Telegram в течение нескольких месяцев существовала ошибка, благодаря которой "самоуничтожающиеся" изображения продолжали храниться даже после того, как они исчезли из чата. Об этом интернет-сообществу рассказал "белый хакер", который обнаружил проблему в то время.

Как и в других мессенджерах, в Telegram уже давно есть функция, позволяющая автоматически удалять сообщения и любые прикрепленные файлы по истечении указанного срока. В феврале 2021 года Telegram объявил о наличии соответствующих функций в новом выпуске. Автоматическое удаление может быть произведено через 24 часа, неделю или месяц после отправки данных.

Для настройки соответствующих функций достаточно открыть чат, выбрать "Очистить историю" и настроить "Автоматическое удаление сообщений в этом чате". Пользователь Дмитрий обнаружил, что в версии для Android сообщения из приватных и групповых чатов исчезали только визуально, при этом сохранялись в кэше.

Согласно порталу Ars Technica, уязвимость CVE-2021-41861 присутствует в версиях приложений с 7.5.0 По 7.8.0, Сообщения и изображения хранятся в каталоге /storage/emulated/0/telegram/Telegram Image по крайней мере в течение некоторого времени после заявленного удаления. В то же время программа информирует пользователя о том, что материалы были полностью удалены.

Дмитрий попытался связаться с представителями Telegram в начале марта, и после серии писем и сообщений (переписка длилась месяцами) компания связалась с ним в сентябре, подтвердив наличие ошибки. В качестве вознаграждения Дмитрию предложили 1000 евро.

Хотя многие компании предлагают "белым хакерам" вознаграждение за обнаруженные уязвимости, обычно о них разрешается рассказывать через 60-90 дней, срок оговаривается индивидуально.

Изучение предлагаемого контракта, отправленного по электронной почте, показало, что представители мессенджера требуют публиковать любые данные об уязвимости только с письменного разрешения Telegram. По словам Дмитрия, такие условия его не устраивали. После этого компания начала игнорировать его, и он также не получил никакого вознаграждения.

Известно, что в 2019 году за обнаружение аналогичной уязвимости исследователь получил 2000 евро от Telegram, но требуются ли добровольные помощники для подписания каких-либо документов о неразглашении, достоверно неизвестно.

Сейчас в Google Play появилась версия Telegram v8.1.2, И ошибка, по-видимому, была устранена в более ранних выпусках мессенджера.

PriceMedia