Пользователь «Хабра» рассказал об опыте взаимодействия с программой поощрения за поиск уязвимостей в Telegram. По его словам, качество обратной связи оставляет желать лучшего, а политика отношения мессенджера к исследованиям противоречива – найденная уязвимость была исправлена лишь спустя полгода после многочисленных запросов, а её существование было скрыто, в информации обновления исправление не числилось.
В своём блоге исследователь рассказал об обнаружении в Android-версии Telegram уязвимости, которая позволяла частично получить содержимое сообщений, удалённых ранее автоматическим таймером:
-
В конце февраля 2021 года Telegram выпустил обновление с заголовком: «Автоудаление, виджеты и временные ссылки для приглашений». Обновление подготовило для пользователей новую функцию автоматического удаления сообщений. Она позволяет задать таймер, по истечении которого, сообщение бесследно автоматически удалялось для всех участиков чата
-
Спустя продолжительное время тестирования, исследователь обнаружил, что удалённые в чате изображения были доступны в корневой директории Telegam на Android
-
Проблема имела хаотичный характер, наблюдалась лишь у некоторых пользователей в редких случаях. Тестирование показало, что баг проявлялся на устройствах разных производителей различной версии Android
-
Пользователь составил отчёт о найденной уязвимости и отправил его на специализированную почту Telegram security@telegram.org
-
В ответном письме пользователя поблагодарили за обратную связь и попросили ждать подробностей
-
Спустя месяц уязвимость не была исправлена. Повторные запросы не давали результата – техподдержка Telegram просила ждать
-
Спустя ещё месяц, с пользователем связался представитель Telegram, вместе с которым была воспроизведена и подтверждено наличие уязвимости
-
Представитель Telegram так же просил ожидать подробностей
-
На третий месяц с момента обращения в техподдержку Telegram пользователю предложили подписать договор о неразглашении с последующим получением вознаграждения в размере 1000 евро
-
Присланные представителем Telegram договор о неразглашении состоял из 8-ми страниц и обязывал не раскрывать никаких деталей сотрудничества на неопределённый срок
-
Было направлено встречное письмо, содержащее вопросы относительно договора и просьбу пересмотреть пункты, запрещающие разглашение информации на постоянной основе
В конечном итоге, ответа на своё письмо с вопросами пользователь не получил, равно как и вознаграждения. Найденная им уязвимость была исправлена спустя полгода в свежей версии Telegram, однако официального упоминания о ней в списке изменений не было.
Читать первым в Telegram-канале «Код Дурова»
