Хакер-исследователь отказался от награды Telegram и раскрыл секрет «самоуничтожающихся» фотографий
6 октября 2021
В мессенджере Telegram месяцами существовал баг, благодаря которому «самоуничтожающиеся» изображения продолжали храниться даже после их исчезновения из чата. Об это рассказал интернет-сообществу «белый хакер», в своё время обнаруживший проблему.
arstechnica.com
Как и у других мессенджеров, в Telegram давно существует функция, позволяющая автоматически удалять сообщения и любые прикреплённые файлы через заданный период. В феврале 2021 года Telegram объявила о присутствии соответствующих функций в новом релизе. Автоудаление может осуществляться через 24 часа, неделю или месяц после отправки данных.
Для настройки соответствующих функций достаточно открыть чат, выбрать «Очистить историю» и настроить «Автоудаление сообщений в этом чате». Пользователь Дмитрий обнаружил, что в версии для Android сообщения из частных и групповых чатов исчезали только визуально, при этом сохраняясь в кэше.
Как сообщает портал Ars Technica, уязвимость CVE-2021-41861 присутствует в версиях приложений с 7.5.0 по 7.8.0, сообщения и изображения сохраняются в директории /Storage/Emulated/0/Telegram/Telegram Image как минимум ещё на некоторое время после заявленного удаления. При этом программа сообщает пользователю, что материалы полностью удалены.
Дмитрий попытался связаться с представителями Telegram в начале марта и после серии писем и сообщений (переписка продолжалась месяцами), компания связалась с ним в сентябре, подтвердив существование бага. В качестве награды Дмитрию были предложены 1000 евро.
Хотя многие компании предлагают «белым хакерам» награды за обнаруженные уязвимости, обычно разрешается рассказать о них через 60-90 дней, период оговаривается индивидуально.
Изучение предложенного контракта, отправленного по электронной почте, показало, что представители мессенджера требуют публиковать любые данные об уязвимости только с письменного разрешения Telegram. По данным Дмитрия, такие условия его не устроили. После этого компания начала игнорировать его, также он не получил никакой награды.
Известно, что в 2019 году за обнаружение похожей уязвимости исследователь получил от Telegram 2000 евро, но требуют ли от добровольных помощников подписывать какие-то документы о неразглашении — достоверно неизвестно.
Сейчас в Google Play имеется версия Telegram v8.1.2, а баг, судя по всему, устранён в более ранних релизах мессенджера.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Як впливають на організм силові тренування 11 апреля 2026
Грамотні силові тренування зміцнюють здоров'я.
В Росії щонайменше у 16 регіонах фіксують осередки сказу - ЗМІ 11 апреля 2026
Найскладніша ситуація нині у Тюменській області, де, за даними місцевого уряду, за січень-лютий виявили понад 40 випадків захворювань.
DJI випустила електродвигуни, які стирають межу між мотоциклом і велосипедом 11 апреля 2026
Компания DJI, известная своими дронами, представила новые наборы с электродвигателями Avinox M2 и M2S для электрических горных велосипедов. DJI вышла на рынок электроприводов для велосипедов летом 2024 года и уже оставила конкурентов далеко позади, включая прежних законодателей моды — платформы Bosch и MAHLE. Новинка ещё сильнее увеличит разрыв между электромоторной продукцией DJI и соперниками, оставляя им всё меньше и меньше места на рынке.
5.0
0.7