11.09.2019 13:30
AnnieBronson 23 8700 Источник


Telegram исправил ошибку, которая нарушила одну из ключевых функций конфиденциальности приложения чата — возможность удалять ваши сообщения.

Telegram заявлял, что приложение может отзывать сообщения, отправленные вашим друзьям. Отозванные чаты должны быть удалены с устройства собеседника.

Тем не менее, баг-хантер Дирадж Мишра заявил изданию The Register, что, хотя текстовое содержание сообщений будет удалено, все прикрепленные изображения останутся на телефоне.

«Предположим, что Боб отправляет изображение, и отправляет его по ошибке Алисе. Боб удаляет сообщение, используя функцию Telegram, известную как «Также удалить для Алисы», которая, по сути, удаляет сообщение для Алисы, — рассказывает Мишра, который нашел ошибку и в частном порядке сообщил об этом Telegram. — Очевидно, эта функция не работает должным образом, так как Алиса все равно сможет видеть изображение, хранящееся в папке Telegram Images. Функция удаляет изображение только из окна чата».

Как отметил Дирадж, он нашёл уязвимость в версии Telegram для Android.

«Я не проверял, как работает эта функция в Telegram для iOS и Windows, но предполагаю, что эта проблема будет существовать и на этих платформах».

Хотя такая уязвимость мессенджера может быть достаточно неудобной для чата один на один, особенно она опасна в чатах большой группы. Мишра отметил, что в некоторых случаях в группы Telegram могут входить тысячи людей, и, если человек по ошибке прикрепит изображение с частной или конфиденциальной информацией у него не будет никакого способа убедиться, что изображение было удалено.

«Вы полагаетесь на функцию, которая не работает, поскольку ваш файл все равно будет присутствовать в хранилище для всех пользователей», — отметил Мишра.

Telegram, похоже, согласился с выводами баг-хантера. Разработчики приложения наградили Мишру наградой в размере €2,3 тысячи (около 165 тысяч ?) и выпустили обновление для устранения недостатка. Пользователям рекомендуется обновить приложение до последней версии (5.11 или выше) или использовать функцию «Секретный чат», где изображения удаляются для обеих сторон.

Комментарии (23)


  1. Arty_Fact
    11.09.2019 16:52
    #20611461
    +3

    Даже в секретном чате можно нажать сохранить, и никто эту картинку не удалит с твоего телефона. Поэтому в целом лучше не полагаться, что отправленное изображение будет удалено.


    1. foxyrus
      11.09.2019 16:54
      #20611471

      Скриншот сообщения и изображения можно сделать.


      1. antarx
        11.09.2019 17:26
        #20611629

        О скриншоте приходит сообщение в сикрет чат.


        1. JustDont
          11.09.2019 17:48
          #20611733
          +3

          И о том, что экран телефона кто-то сфоткал — тоже придёт, ага.
          Проблемы безопасности устройства не решаются софтом этого устройства.


  1. Porohovnik
    11.09.2019 17:33
    #20611659
    +4

    я всегда думал что это фича, а не баг… а вот оно как… (А вообще это как-то неправильно, я трачу трафик(т.е деньги) чтобы изображение скачивались мне на телефон… а он такой скачивает а потом удаляет...)


    А теперь открылась очень интересная ситуация-если у человека настроена авто скачивания всего из чата, то можно нагрузить Тула скажем с помощью бота 100000 изображений, а потом удалить их.
    И всё, можно лишить человека трафика…
    В прошлой версии я бы хотя бы это смог узнать...


    1. AllexIn
      12.09.2019 06:11
      #20613051

      Странный кейс.
      Зачем удалять, если цель лишить трафика?


      1. Porohovnik
        12.09.2019 08:57
        #20613287

        Скрыть следы, так человек будет грешить на всё что угодно, а так он будет точно знать что это телега виновата, и скорее всего просто отключит эту функцию.(т.е повторная атака будет уже недоступна)


        1. QDeathNick
          12.09.2019 09:26
          #20613399

          Зачем на что-то грешить, если с графиками видно кто именно съел трафик.
          Разве не на всех смартфонах можно смотреть на что ушёл трафик?
          Но конечно это не сильно поможет понять как телеграм съел терабайты.


    1. censor2005
      12.09.2019 10:18
      #20613611

      Надо в настройках отключить автоматическую загрузку медиа. Тогда трафик не улетит :)


    1. bano-notit
      12.09.2019 23:57
      #20617299

      Пока вы в чат не войдёте телега не начнёт качать изображения. Она качает только то, что пользователь может увидеть в пределах нескольких экранов. Если вы пропустите их, то изображения не скачаются. Это называется Lazy-loading.


  1. sphinxy
    11.09.2019 18:24
    #20611845

    github.com/DrKLO/Telegram/pull/1467
    Оно и в секретных чатах прекрасно хранит всё на диске на андроиде, потому что кто-то по умолчанию использует общий кеш, доступный на чтение вообще любому приложению, вместо внутренного условно-секретного кеша

    Полтора года багу


    1. fur_habr
      11.09.2019 18:39
      #20611895

      Не полтора, а как минимум 5! Вот статья. Только в этой статье упор был на то, что при удалении сообщения всё равно остаётся на диске. Хотя факт того что кэш секретных чатов не должен храниться в пользовательском пространстве не рассматривался как баг, но поведение именно такое.


  1. JTG
    11.09.2019 20:25
    #20612183
    +1

    А есть какой-нибудь клиент, который не удаляет сообщения (а также содержимое каналов на устройстве, вместе со всей уже загруженной историей, если канал оказывается удалён)? Жутко бесит такое поведение, которое к тому же создаёт у пользователей иллюзию безопасности.


    1. fouriki
      12.09.2019 10:26
      #20613645

      Насколько мне известно, правила ТГ запрещает такое поведение отключает такие клиенты. Хз как. Насколько помню, подобный функционал был в некоторых альтернативных клиентах. Потом сказали, что так нельзя и этот функционал выпилили


  1. Goodkat
    11.09.2019 20:32
    #20612201

    У него ж вроде открыты исходники клиента?


    Надоели уже удалятели и редактирователи своих сообщений, давно уже хотел покопаться в исходниках и отключить удаление и сделать историю редактирования.


    1. AllexIn
      12.09.2019 06:13
      #20613053

      Вообще есть хорошее и удобное правило для алгоритма удаления и редактирования:
      редактирование и удаление возможно если ваше сообщение еще никто не прочитал.


      1. ProRunner
        12.09.2019 08:32
        #20613217

        Это плохое правило. Допустим, вы входите в группу неугодных власти людей в стране с тоталитарным режимом. Одного из ваших друзей вяжут и забирают. У полиции полный смартфон инкриминирующих вас (с их точки зрения) сообщений.

        И да, я знаю про самоудаляемые сообщения и т.д. Об этом группа людей вспомнила, когда было уже поздно. Собственно, они внезапно стали неугодны власти, до этого группа людей жила себе и жила.

        Я не говорю про один телеграм, в общем про мессенджеры. Именно поэтому я и предпочитаю вайбер, где сквозное шифрование по умолчанию и ты можешь удалить свои сообщения у всех в любое время.


        1. AllexIn
          12.09.2019 08:47
          #20613253
          -1

          Закон не имеет обратной силы.
          Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
          Вот только не надо про «тоталитарный режим проигнорирует и использует». Тоталитарному режиму вообще ваши картиночки не нужны, если будет цель — посадят в независимости от их наличия или отсутствия.


          1. ProRunner
            12.09.2019 09:13
            #20613347

            Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
            Вы знаете, оно у нас как-то по другому работает. К примеру, то, что вы выложили у себя на страничке в социальной сети ссылку на книгу, которая через год была признана экстремистской, прокурор очень даже вменит вам в вину, не смотря на дату.

            И да при желании посадят любого и за что хочешь. Но зачем давать им хоть какую-либо помощь в расследовании и в ширме справедливого суда.


  1. ProRunner
    12.09.2019 08:31
    #20613213

    /промахнулся веткой/


    1. QDeathNick
      12.09.2019 09:29
      #20613409
      +1

      Это не оправдание, вас тоже посадят.


  1. censor2005
    12.09.2019 08:40
    #20613235
    +1

    Всегда думал, что это фича, а оказывается можно было зарепортить и подзаработать на этом. Эх…


    1. da411d
      12.09.2019 11:09
      #20613863

      Та же вигня. Пару лет балуюсь этим. Иногда удаленные фотки друзей восстанавливал и прикалывался над ними. Как же я орал как узнал что за это можно было получить познаграждение...