Telegram исправил ошибку, которая нарушила одну из ключевых функций конфиденциальности приложения чата — возможность удалять ваши сообщения.
Telegram заявлял, что приложение может отзывать сообщения, отправленные вашим друзьям. Отозванные чаты должны быть удалены с устройства собеседника.
Тем не менее, баг-хантер Дирадж Мишра заявил изданию The Register, что, хотя текстовое содержание сообщений будет удалено, все прикрепленные изображения останутся на телефоне.
«Предположим, что Боб отправляет изображение, и отправляет его по ошибке Алисе. Боб удаляет сообщение, используя функцию Telegram, известную как «Также удалить для Алисы», которая, по сути, удаляет сообщение для Алисы, — рассказывает Мишра, который нашел ошибку и в частном порядке сообщил об этом Telegram. — Очевидно, эта функция не работает должным образом, так как Алиса все равно сможет видеть изображение, хранящееся в папке Telegram Images. Функция удаляет изображение только из окна чата».
Как отметил Дирадж, он нашёл уязвимость в версии Telegram для Android.
«Я не проверял, как работает эта функция в Telegram для iOS и Windows, но предполагаю, что эта проблема будет существовать и на этих платформах».
Хотя такая уязвимость мессенджера может быть достаточно неудобной для чата один на один, особенно она опасна в чатах большой группы. Мишра отметил, что в некоторых случаях в группы Telegram могут входить тысячи людей, и, если человек по ошибке прикрепит изображение с частной или конфиденциальной информацией у него не будет никакого способа убедиться, что изображение было удалено.
«Вы полагаетесь на функцию, которая не работает, поскольку ваш файл все равно будет присутствовать в хранилище для всех пользователей», — отметил Мишра.
Telegram, похоже, согласился с выводами баг-хантера. Разработчики приложения наградили Мишру наградой в размере €2,3 тысячи (около 165 тысяч ?) и выпустили обновление для устранения недостатка. Пользователям рекомендуется обновить приложение до последней версии (5.11 или выше) или использовать функцию «Секретный чат», где изображения удаляются для обеих сторон.
Комментарии (23)
Porohovnik
11.09.2019 17:33+4я всегда думал что это фича, а не баг… а вот оно как… (А вообще это как-то неправильно, я трачу трафик(т.е деньги) чтобы изображение скачивались мне на телефон… а он такой скачивает а потом удаляет...)
А теперь открылась очень интересная ситуация-если у человека настроена авто скачивания всего из чата, то можно нагрузить Тула скажем с помощью бота 100000 изображений, а потом удалить их.
И всё, можно лишить человека трафика…
В прошлой версии я бы хотя бы это смог узнать...
AllexIn
12.09.2019 06:11Странный кейс.
Зачем удалять, если цель лишить трафика?Porohovnik
12.09.2019 08:57Скрыть следы, так человек будет грешить на всё что угодно, а так он будет точно знать что это телега виновата, и скорее всего просто отключит эту функцию.(т.е повторная атака будет уже недоступна)
QDeathNick
12.09.2019 09:26Зачем на что-то грешить, если с графиками видно кто именно съел трафик.
Разве не на всех смартфонах можно смотреть на что ушёл трафик?
Но конечно это не сильно поможет понять как телеграм съел терабайты.
censor2005
12.09.2019 10:18Надо в настройках отключить автоматическую загрузку медиа. Тогда трафик не улетит :)
bano-notit
12.09.2019 23:57Пока вы в чат не войдёте телега не начнёт качать изображения. Она качает только то, что пользователь может увидеть в пределах нескольких экранов. Если вы пропустите их, то изображения не скачаются. Это называется Lazy-loading.
sphinxy
11.09.2019 18:24github.com/DrKLO/Telegram/pull/1467
Оно и в секретных чатах прекрасно хранит всё на диске на андроиде, потому что кто-то по умолчанию использует общий кеш, доступный на чтение вообще любому приложению, вместо внутренного условно-секретного кеша
Полтора года багуfur_habr
11.09.2019 18:39Не полтора, а как минимум 5! Вот статья. Только в этой статье упор был на то, что при удалении сообщения всё равно остаётся на диске. Хотя факт того что кэш секретных чатов не должен храниться в пользовательском пространстве не рассматривался как баг, но поведение именно такое.
JTG
11.09.2019 20:25+1А есть какой-нибудь клиент, который не удаляет сообщения (а также содержимое каналов на устройстве, вместе со всей уже загруженной историей, если канал оказывается удалён)? Жутко бесит такое поведение, которое к тому же создаёт у пользователей иллюзию безопасности.
fouriki
12.09.2019 10:26Насколько мне известно, правила ТГ запрещает такое поведение отключает такие клиенты. Хз как. Насколько помню, подобный функционал был в некоторых альтернативных клиентах. Потом сказали, что так нельзя и этот функционал выпилили
Goodkat
11.09.2019 20:32У него ж вроде открыты исходники клиента?
Надоели уже удалятели и редактирователи своих сообщений, давно уже хотел покопаться в исходниках и отключить удаление и сделать историю редактирования.
AllexIn
12.09.2019 06:13Вообще есть хорошее и удобное правило для алгоритма удаления и редактирования:
редактирование и удаление возможно если ваше сообщение еще никто не прочитал.
ProRunner
12.09.2019 08:32Это плохое правило. Допустим, вы входите в группу неугодных власти людей в стране с тоталитарным режимом. Одного из ваших друзей вяжут и забирают. У полиции полный смартфон инкриминирующих вас (с их точки зрения) сообщений.
И да, я знаю про самоудаляемые сообщения и т.д. Об этом группа людей вспомнила, когда было уже поздно. Собственно, они внезапно стали неугодны власти, до этого группа людей жила себе и жила.
Я не говорю про один телеграм, в общем про мессенджеры. Именно поэтому я и предпочитаю вайбер, где сквозное шифрование по умолчанию и ты можешь удалить свои сообщения у всех в любое время.AllexIn
12.09.2019 08:47-1Закон не имеет обратной силы.
Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
Вот только не надо про «тоталитарный режим проигнорирует и использует». Тоталитарному режиму вообще ваши картиночки не нужны, если будет цель — посадят в независимости от их наличия или отсутствия.ProRunner
12.09.2019 09:13Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
Вы знаете, оно у нас как-то по другому работает. К примеру, то, что вы выложили у себя на страничке в социальной сети ссылку на книгу, которая через год была признана экстремистской, прокурор очень даже вменит вам в вину, не смотря на дату.
И да при желании посадят любого и за что хочешь. Но зачем давать им хоть какую-либо помощь в расследовании и в ширме справедливого суда.
censor2005
12.09.2019 08:40+1Всегда думал, что это фича, а оказывается можно было зарепортить и подзаработать на этом. Эх…
da411d
12.09.2019 11:09Та же вигня. Пару лет балуюсь этим. Иногда удаленные фотки друзей восстанавливал и прикалывался над ними. Как же я орал как узнал что за это можно было получить познаграждение...
Arty_Fact
Даже в секретном чате можно нажать сохранить, и никто эту картинку не удалит с твоего телефона. Поэтому в целом лучше не полагаться, что отправленное изображение будет удалено.
foxyrus
Скриншот сообщения и изображения можно сделать.
antarx
О скриншоте приходит сообщение в сикрет чат.
JustDont
И о том, что экран телефона кто-то сфоткал — тоже придёт, ага.
Проблемы безопасности устройства не решаются софтом этого устройства.