Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Telegram предлагал эксперту деньги за молчание о баге функции самоудаления

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 03-10-2025, 07:24 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Разработчики Telegram в этом году устранили в мессенджере ещё один баг, затрагивающий механизм самоудаления сообщений и вложений. Однако нашедший брешь исследователь недоволен медленной реакцией команды девелоперов, а также предложенным ему вознаграждением за молчание.
Как оказалось, представители Telegram хотели заплатить специалисту сумму в размере $1159, однако одним из условий было неразглашение информации о баге. Эксперт отказался.
Речь идёт о некорректной работе функции самоудаления сообщений, которая должна автоматически стирать вложения на устройствах как получателя, так и отправителя. Разработчики подают эту функциональность в качестве ещё одного опционального слоя приватности.
В феврале 2021 года вышла версия мессенджера под номером 2.6. Этот релиз, согласно описанию, отметился нововведением — возможностью задать таймер самоуничтожения отдельных сообщений. Спустя буквально несколько дней исследователь, известный под именем Дмитрий, нашёл брешь в новой функции Android-версии Telegram.
«После нескольких дней тестирования я всё-таки нашёл, что искал: запрограммированные на самоудаление сообщения уничтожились только визуально (в окне чата). На деле же все прикреплённые картинки и другие вложения оставались в кеше на устройствах пользователей», — пишет специалист в блоге.
Этой проблеме присвоили идентификатор CVE-2021-41861. Как объяснил исследователь, в Android-версии Telegram вложения из удалённых сообщений оставались в директории /Storage/Emulated/0/Telegram/Telegram Image. При этом пользовательский интерфейс давал понять, что как сообщение, так и вложения успешно удалились.
Тем не менее получить какую-либо реакцию от представителей Telegram оказалось не так просто, отметил Дмитрий. Эксперт обратился к разработчикам мессенджера в марте, но только в сентябре получил вменяемый ответ и подтверждение наличия бага.
За указание на проблему в конфиденциальности Дмитрию предложили 1159 долларов, однако одним из условий вознаграждения был запрет на разглашение информации о найденной уязвимости.
«На данный момент я не получил никакого вознаграждения», — подытожил эксперт.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:17 PM.

Contact Us - Carder.life - Archive - Top