Пользователь «Хабра» с ником ne555 рассказал о проблемах с конфиденциальностью Telegram. По его словам, программа bug bounty, запущенная владельцами мессенджера, предусматривает выплату вознаграждения за сообщения о подобных проблемах, но для получения денег нельзя публично рассказывать о найденных уязвимостях даже после их устранения, что противоречит нормам, принятым в ИБ-индустрии.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

ne555 рассказывает, что в феврале 2021 года в Telegram появилась функция, позволяющая автоматически удалять переписку в чатах через заданный интервал времени — сутки или неделю после отправки сообщения. «Белый» хакер обнаружил, что сообщения действительно удаляются, однако отправленные изображения остаются в открытом виде в кэше, доступ к которому на Android-смартфоне можно получить по пути /Storage/Emulated/0/Telegram/Telegram Image.

Обычно удаляется и текст сообщений, и другие данные, включая картинки, но определёнными действиями можно вызвать баг: 

Устанавливаем таймер автоудаления на 24 ч, обмениваемся картинками. Ждем сутки. Проверяем путь /Storage/Emulated/0/Telegram/Telegram Image, картинки автоудалились. Отменяем автоудаление и снова ставим таймер на 24 ч и повторяем первоначальные действия. Обычно автоудаление не срабатывает на 2-4 раз. Как только картинки остались в кэше (вышел баг с автоудалением сообщений), можно таймер на чате оставить в покое, все последующие дни будет очищаться только окно сообщений в мессенджере, а картинки будут оставаться в кэше.

В кэше сохраняются не только те изображения, которые вы отправили, но и те, что получили, то есть таким образом можно подставить своего собеседника — он будет думать, что вся ваша переписка очистилась, но на деле это окажется не так.

Аналогичную уязвимость уже находили в Telegram ранее, и за сообщение о ней исследователь получил 2,5 тысячи долларов, поэтому ne555 тоже рассчитывал на награду. Он написал разработчикам Telegram письмо, а котором подробно описал проблему. Спустя почти полгода и после периодичных напоминаний баг всё же был устранён. Сотрудник Telegram предложил хакеру вознаграждение в размере 1 тысячи евро, а когда тот согласился, попросил его подписать договор в PDF. В 8-страничном документе содержались в том числе требования не разглашать информацию об уязвимости другим лицам и компаниям.

ne555 отправил разработчикам Telegram письмо, в котором выразил недовольство этим моментом и предложил установить срок, в течение которого он не может разглашать сведения об уязвимости, или пересмотреть сумму гонорара в сторону увеличения. Это письмо осталось без ответа, а в чейнджлогах Telegram не упоминалось об устранении проблемы с автоудалением сообщений.

Обещанную выплату хакер так и не получил и вряд ли получит, ведь он раскрыл информацию об уязвимости на «Хабре», а по условиям договора ему было запрещено это делать.