[Telegram]
Вышла бета обновления Telegram 9.4. Что нового?
28 января, 2023
Пользователь «Хабра» рассказал об опыте взаимодействия с программой поощрения за поиск уязвимостей в Telegram. По его словам, качество обратной связи оставляет желать лучшего, а политика отношения мессенджера к исследованиям противоречива – найденная уязвимость была исправлена лишь спустя полгода после многочисленных запросов, а её существование было скрыто, в информации обновления исправление не числилось.
В своём блоге исследователь рассказал об обнаружении в Android-версии Telegram уязвимости, которая позволяла частично получить содержимое сообщений, удалённых ранее автоматическим таймером:
В конце февраля 2021 года Telegram выпустил обновление с заголовком: «Автоудаление, виджеты и временные ссылки для приглашений». Обновление подготовило для пользователей новую функцию автоматического удаления сообщений. Она позволяет задать таймер, по истечении которого, сообщение бесследно автоматически удалялось для всех участиков чата
Спустя продолжительное время тестирования, исследователь обнаружил, что удалённые в чате изображения были доступны в корневой директории Telegam на Android
Проблема имела хаотичный характер, наблюдалась лишь у некоторых пользователей в редких случаях. Тестирование показало, что баг проявлялся на устройствах разных производителей различной версии Android
Пользователь составил отчёт о найденной уязвимости и отправил его на специализированную почту Telegram [email protected]
В ответном письме пользователя поблагодарили за обратную связь и попросили ждать подробностей
Спустя месяц уязвимость не была исправлена. Повторные запросы не давали результата – техподдержка Telegram просила ждать
Спустя ещё месяц, с пользователем связался представитель Telegram, вместе с которым была воспроизведена и подтверждено наличие уязвимости
Представитель Telegram так же просил ожидать подробностей
На третий месяц с момента обращения в техподдержку Telegram пользователю предложили подписать договор о неразглашении с последующим получением вознаграждения в размере 1000 евро
Присланные представителем Telegram договор о неразглашении состоял из 8-ми страниц и обязывал не раскрывать никаких деталей сотрудничества на неопределённый срок
Было направлено встречное письмо, содержащее вопросы относительно договора и просьбу пересмотреть пункты, запрещающие разглашение информации на постоянной основе
В конечном итоге, ответа на своё письмо с вопросами пользователь не получил, равно как и вознаграждения. Найденная им уязвимость была исправлена спустя полгода в свежей версии Telegram, однако официального упоминания о ней в списке изменений не было.