Новости Software

Исследователь отказался от награды Telegram и раскрыл секрет «самоуничтожающихся» фотографий

В мессенджере Telegram месяцами существовал баг, благодаря которому «самоуничтожающиеся» изображения продолжали храниться даже после их исчезновения из чата. Об этом рассказал интернет-сообществу «белый хакер», в своё время обнаруживший проблему.

 arstechnica.com

arstechnica.com

Как и у других мессенджеров, в Telegram давно существует функция, позволяющая автоматически удалять сообщения и любые прикреплённые файлы через заданный период. В феврале 2021 года Telegram объявила о присутствии соответствующих функций в новом релизе. Автоудаление может осуществляться через 24 часа, неделю или месяц после отправки данных.

Для настройки соответствующих функций достаточно открыть чат, выбрать «Очистить историю» и настроить «Автоудаление сообщений в этом чате». Пользователь Дмитрий обнаружил, что в версии для Android сообщения из частных и групповых чатов исчезали только визуально, при этом сохраняясь в кэше.

Как сообщает портал Ars Technica, уязвимость CVE-2021-41861 присутствует в версиях приложений с 7.5.0 по 7.8.0, сообщения и изображения сохраняются в директории /Storage/Emulated/0/Telegram/Telegram Image как минимум ещё на некоторое время после заявленного удаления. При этом программа сообщает пользователю, что материалы полностью удалены.

Дмитрий попытался связаться с представителями Telegram в начале марта и после серии писем и сообщений (переписка продолжалась месяцами), компания связалась с ним в сентябре, подтвердив существование бага. В качестве награды Дмитрию были предложены 1000 евро.

Хотя многие компании предлагают «белым хакерам» награды за обнаруженные уязвимости, обычно разрешается рассказать о них через 60-90 дней, период оговаривается индивидуально.

Изучение предложенного контракта, отправленного по электронной почте, показало, что представители мессенджера требуют публиковать любые данные об уязвимости только с письменного разрешения Telegram. По данным Дмитрия, такие условия его не устроили. После этого компания начала игнорировать его, также он не получил никакой награды.

Известно, что в 2019 году за обнаружение похожей уязвимости исследователь получил от Telegram 2000 евро, но требуют ли от добровольных помощников подписывать какие-то документы о неразглашении — достоверно неизвестно.

Сейчас в Google Play имеется версия Telegram v8.1.2, а баг, судя по всему, устранён в более ранних релизах мессенджера.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Новая статья: Blood West — вор на мрачном западе. Предварительный обзор 2 ч.
Банк России готов легализовать майнинг криптовалют, но только для их продажи за рубежом 3 ч.
Ubisoft показала два новых трейлера и раскрыла композиторов тактического приключения Mario + Rabbids Sparks of Hope 4 ч.
В сентябре провальный ремейк XIII ждёт масштабное обновление и релиз на Nintendo Switch 5 ч.
AMD выпустила драйвер Radeon Software: Adrenalin Edition 22.6.1: добавлена поддержка F1 22 и исправлен ряд старых ошибок 5 ч.
Ролевой экшен Star Ocean: The Divine Force получил точную дату выхода и сразу три новых ролика 6 ч.
NVIDIA снова ставит рекорды в ИИ-бенчмарке MLPerf Training 7 ч.
Blizzard купила студию Proletariat, которая вчера объявила о скором закрытии королевской битвы Spellbreak 7 ч.
«Яндекс» решила закрыть своё подразделение в Ирландии 7 ч.
В Snapchat появилась платная подписка — за $3,99 в месяц можно получить какие-то дополнительные функции 7 ч.
Качество автомобилей упало на 11 %, а больше всего проблем наблюдается у электромобилей 37 мин.
Смартфон Xiaomi 12S Ultra удивит камерой на основе огромного 1-дюймового сенсора Sony IMX989 2 ч.
Представлена AyaNeo Next 2 — первая портативная приставка с дискретной графикой Intel Arc или AMD Radeon 7 ч.
Великобритания ввела санкции против нового владельца «СберЗвука», Okko, SberCloud и ЦРТ 7 ч.
HPE GreenLake позволит развернуть полноценное частное облако 7 ч.
MSI выпустила плату Pro H610M 12VO, выполненную по стандарту питания ATX12VO 8 ч.
Volkswagen: полностью отказаться от ДВС не составит труда, а вот выпускать достаточно аккумуляторов для электромобилей будет сложнее 9 ч.
Китайские облака замедляют закупки серверов — их примеру могут последовать гиперскейлеры США 9 ч.
Некоторые Steam Deck получат более медленные SSD — Valve уверила, что на производительность в играх это не влияет 10 ч.
Philips представила широкоформатный изогнутый 34-дюймовый монитор со встроенной веб-камерой 10 ч.