Контакты Telegram: @recodepress

Привет, что ищешь?

Новости

Исследователь раскритиковал программу поиска уязвимостей в Telegram

Пользователь «Хабра» рассказал об опыте взаимодействия с программой поощрения за поиск уязвимостей в Telegram. По его словам, качество обратной связи оставляет желать лучшего, а политика отношения мессенджера к исследованиям противоречива – найденная уязвимость была исправлена лишь спустя полгода после многочисленных запросов, а её существование было скрыто, в информации обновления исправление не числилось.

В своём блоге исследователь рассказал об обнаружении в Android-версии Telegram уязвимости, которая позволяла частично получить содержимое сообщений, удалённых ранее автоматическим таймером:

  • В конце февраля 2021 года Telegram выпустил обновление с заголовком: «Автоудаление, виджеты и временные ссылки для приглашений». Обновление подготовило для пользователей новую функцию автоматического удаления сообщений. Она позволяет задать таймер, по истечении которого, сообщение бесследно автоматически удалялось для всех участиков чата
  • Спустя продолжительное время тестирования, исследователь обнаружил, что удалённые в чате изображения были доступны в корневой директории Telegam на Android
  • Проблема имела хаотичный характер, наблюдалась лишь у некоторых пользователей в редких случаях. Тестирование показало, что баг проявлялся на устройствах разных производителей различной версии Android
  • Пользователь составил отчёт о найденной уязвимости и отправил его на специализированную почту Telegram [email protected]
  • В ответном письме пользователя поблагодарили за обратную связь и попросили ждать подробностей
  • Спустя месяц уязвимость не была исправлена. Повторные запросы не давали результата – техподдержка Telegram просила ждать
  • Спустя ещё месяц, с пользователем связался представитель Telegram, вместе с которым была воспроизведена и подтверждено наличие уязвимости

15da683dd4a0f563089768402f680015

  • Представитель Telegram так же просил ожидать подробностей
  • На третий месяц с момента обращения в техподдержку Telegram пользователю предложили подписать договор о неразглашении с последующим получением вознаграждения в размере 1000 евро
  • Присланные представителем Telegram договор о неразглашении состоял из 8-ми страниц и обязывал не раскрывать никаких деталей сотрудничества на неопределённый срок
  • Было направлено встречное письмо, содержащее вопросы относительно договора и просьбу пересмотреть пункты, запрещающие разглашение информации на постоянной основе

В конечном итоге, ответа на своё письмо с вопросами пользователь не получил, равно как и вознаграждения. Найденная им уязвимость была исправлена спустя полгода в свежей версии Telegram, однако официального упоминания о ней в списке изменений не было.

Оставить комментарий

Комментировать через социальные сети:

Advertisement

Рекомендованные

Бизнес

Вчера Павел Дуров написал в телеграм-канале о закрытии криптовалютного проекта Telegram Open Network (TON). В 2018 году Дуров привлек на разработку TON $1,7 млрд от ограниченного круга...

Бизнес

Компания Hikvision совместно с облачным сервисом видеонаблюдения и видеоаналитики Ivideon представили линейку новых моделей IP-камер. Устройства имеют заводскую прошивку, которая обеспечивают доступ в облако Ivideon...

Бизнес

Ак Барс Банк подключился к блокчейн-платформе Федеральной налоговой службы РФ, которая способствует ускоренному рассмотрению банком заявок юридических лиц и индивидуальных предпринимателей, пострадавших от пандемии коронавирусной инфекции. Сервис позволяет...

Бизнес

Известный предприниматель Владимир Горбунов в ходе онлайн-конференции, посвященной развитию бизнеса в период коронавируса, заявил, что главным трендом ближайших лет станут интернет-технологии. Самоизоляция многих заставила...