Исследователь раскритиковал программу поиска уязвимостей в Telegram

Пользователь «Хабра» рассказал об опыте взаимодействия с программой поощрения за поиск уязвимостей в Telegram. По его словам, качество обратной связи оставляет желать лучшего, а политика отношения мессенджера к исследованиям противоречива – найденная уязвимость была исправлена лишь спустя полгода после многочисленных запросов, а её существование было скрыто, в информации обновления исправление не числилось.

В своём блоге исследователь рассказал об обнаружении в Android-версии Telegram уязвимости, которая позволяла частично получить содержимое сообщений, удалённых ранее автоматическим таймером:

• В конце февраля 2021 года Telegram выпустил обновление с заголовком: «Автоудаление, виджеты и временные ссылки для приглашений». Обновление подготовило для пользователей новую функцию автоматического удаления сообщений. Она позволяет задать таймер, по истечении которого, сообщение бесследно автоматически удалялось для всех участиков чата

• Спустя продолжительное время тестирования, исследователь обнаружил, что удалённые в чате изображения были доступны в корневой директории Telegam на Android

• Проблема имела хаотичный характер, наблюдалась лишь у некоторых пользователей в редких случаях. Тестирование показало, что баг проявлялся на устройствах разных производителей различной версии Android

• Пользователь составил отчёт о найденной уязвимости и отправил его на специализированную почту Telegram security@telegram.org

• В ответном письме пользователя поблагодарили за обратную связь и попросили ждать подробностей

• Спустя месяц уязвимость не была исправлена. Повторные запросы не давали результата – техподдержка Telegram просила ждать

• Спустя ещё месяц, с пользователем связался представитель Telegram, вместе с которым была воспроизведена и подтверждено наличие уязвимости

• Представитель Telegram так же просил ожидать подробностей

• На третий месяц с момента обращения в техподдержку Telegram пользователю предложили подписать договор о неразглашении с последующим получением вознаграждения в размере 1000 евро

• Присланные представителем Telegram договор о неразглашении состоял из 8-ми страниц и обязывал не раскрывать никаких деталей сотрудничества на неопределённый срок

• Было направлено встречное письмо, содержащее вопросы относительно договора и просьбу пересмотреть пункты, запрещающие разглашение информации на постоянной основе

В конечном итоге, ответа на своё письмо с вопросами пользователь не получил, равно как и вознаграждения. Найденная им уязвимость была исправлена спустя полгода в свежей версии Telegram, однако официального упоминания о ней в списке изменений не было.