28 августа 2025

eur = 93.37 -1.09 (-1.16 %)

btc = 111 021.00$ - 684.90 (-0.61 %)

eth = 4 478.29$ - 115.53 (-2.51 %)

ton = 3.13$ -0.04 (-1.14 %)

usd = 80.53 -0.16 (-0.20 %)

eur = 93.37 -1.09 (-1.16 %)

btc = 111 021.00$ - 684.90 (-0.61 %)

Исследователь раскритиковал программу поиска уязвимостей в Telegram

2 минуты на чтение
Исследователь раскритиковал программу поиска уязвимостей в Telegram

Пользователь «Хабра» рассказал об опыте взаимодействия с программой поощрения за поиск уязвимостей в Telegram. По его словам, качество обратной связи оставляет желать лучшего, а политика отношения мессенджера к исследованиям противоречива – найденная уязвимость была исправлена лишь спустя полгода после многочисленных запросов, а её существование было скрыто, в информации обновления исправление не числилось.

В своём блоге исследователь рассказал об обнаружении в Android-версии Telegram уязвимости, которая позволяла частично получить содержимое сообщений, удалённых ранее автоматическим таймером:

  • В конце февраля 2021 года Telegram выпустил обновление с заголовком: «Автоудаление, виджеты и временные ссылки для приглашений». Обновление подготовило для пользователей новую функцию автоматического удаления сообщений. Она позволяет задать таймер, по истечении которого, сообщение бесследно автоматически удалялось для всех участиков чата

  • Спустя продолжительное время тестирования, исследователь обнаружил, что удалённые в чате изображения были доступны в корневой директории Telegam на Android

  • Проблема имела хаотичный характер, наблюдалась лишь у некоторых пользователей в редких случаях. Тестирование показало, что баг проявлялся на устройствах разных производителей различной версии Android

  • Пользователь составил отчёт о найденной уязвимости и отправил его на специализированную почту Telegram security@telegram.org

  • В ответном письме пользователя поблагодарили за обратную связь и попросили ждать подробностей

  • Спустя месяц уязвимость не была исправлена. Повторные запросы не давали результата – техподдержка Telegram просила ждать

  • Спустя ещё месяц, с пользователем связался представитель Telegram, вместе с которым была воспроизведена и подтверждено наличие уязвимости

15da683dd4a0f563089768402f680015

  • Представитель Telegram так же просил ожидать подробностей

  • На третий месяц с момента обращения в техподдержку Telegram пользователю предложили подписать договор о неразглашении с последующим получением вознаграждения в размере 1000 евро

  • Присланные представителем Telegram договор о неразглашении состоял из 8-ми страниц и обязывал не раскрывать никаких деталей сотрудничества на неопределённый срок

  • Было направлено встречное письмо, содержащее вопросы относительно договора и просьбу пересмотреть пункты, запрещающие разглашение информации на постоянной основе

В конечном итоге, ответа на своё письмо с вопросами пользователь не получил, равно как и вознаграждения. Найденная им уязвимость была исправлена спустя полгода в свежей версии Telegram, однако официального упоминания о ней в списке изменений не было.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Рынок ноутбуков в России падает почти на 20%

GigaChat Max: коротко о главном

Рынок ноутбуков в России падает почти на 20%

Полная версия 
«Яндекс Путешествия» начали показывать данные о доступности отелей«Яндекс Путешествия» начали показывать данные о доступности отелей

GigaChat Max: коротко о главном

«Яндекс Путешествия» начали показывать данные о доступности отелей

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 406
OTP Bank
Газпромбанк
X5 Tech
билайн
МТС
Сбер
Т-Банк
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы