При удалении сообщений в Telegram изображения оставались на смартфонах всех участников чата



    Telegram исправил ошибку, которая нарушила одну из ключевых функций конфиденциальности приложения чата — возможность удалять ваши сообщения.

    Telegram заявлял, что приложение может отзывать сообщения, отправленные вашим друзьям. Отозванные чаты должны быть удалены с устройства собеседника.

    Тем не менее, баг-хантер Дирадж Мишра заявил изданию The Register, что, хотя текстовое содержание сообщений будет удалено, все прикрепленные изображения останутся на телефоне.

    «Предположим, что Боб отправляет изображение, и отправляет его по ошибке Алисе. Боб удаляет сообщение, используя функцию Telegram, известную как «Также удалить для Алисы», которая, по сути, удаляет сообщение для Алисы, — рассказывает Мишра, который нашел ошибку и в частном порядке сообщил об этом Telegram. — Очевидно, эта функция не работает должным образом, так как Алиса все равно сможет видеть изображение, хранящееся в папке Telegram Images. Функция удаляет изображение только из окна чата».

    Как отметил Дирадж, он нашёл уязвимость в версии Telegram для Android.

    «Я не проверял, как работает эта функция в Telegram для iOS и Windows, но предполагаю, что эта проблема будет существовать и на этих платформах».

    Хотя такая уязвимость мессенджера может быть достаточно неудобной для чата один на один, особенно она опасна в чатах большой группы. Мишра отметил, что в некоторых случаях в группы Telegram могут входить тысячи людей, и, если человек по ошибке прикрепит изображение с частной или конфиденциальной информацией у него не будет никакого способа убедиться, что изображение было удалено.

    «Вы полагаетесь на функцию, которая не работает, поскольку ваш файл все равно будет присутствовать в хранилище для всех пользователей», — отметил Мишра.

    Telegram, похоже, согласился с выводами баг-хантера. Разработчики приложения наградили Мишру наградой в размере €2,3 тысячи (около 165 тысяч ₽) и выпустили обновление для устранения недостатка. Пользователям рекомендуется обновить приложение до последней версии (5.11 или выше) или использовать функцию «Секретный чат», где изображения удаляются для обеих сторон.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 23

      +5
      Даже в секретном чате можно нажать сохранить, и никто эту картинку не удалит с твоего телефона. Поэтому в целом лучше не полагаться, что отправленное изображение будет удалено.
        0
        Скриншот сообщения и изображения можно сделать.
          0
          О скриншоте приходит сообщение в сикрет чат.
            +8
            И о том, что экран телефона кто-то сфоткал — тоже придёт, ага.
            Проблемы безопасности устройства не решаются софтом этого устройства.
        +7

        я всегда думал что это фича, а не баг… а вот оно как… (А вообще это как-то неправильно, я трачу трафик(т.е деньги) чтобы изображение скачивались мне на телефон… а он такой скачивает а потом удаляет...)


        А теперь открылась очень интересная ситуация-если у человека настроена авто скачивания всего из чата, то можно нагрузить Тула скажем с помощью бота 100000 изображений, а потом удалить их.
        И всё, можно лишить человека трафика…
        В прошлой версии я бы хотя бы это смог узнать...

          0
          Странный кейс.
          Зачем удалять, если цель лишить трафика?
            0

            Скрыть следы, так человек будет грешить на всё что угодно, а так он будет точно знать что это телега виновата, и скорее всего просто отключит эту функцию.(т.е повторная атака будет уже недоступна)

              0

              Зачем на что-то грешить, если с графиками видно кто именно съел трафик.
              Разве не на всех смартфонах можно смотреть на что ушёл трафик?
              Но конечно это не сильно поможет понять как телеграм съел терабайты.

            0
            Надо в настройках отключить автоматическую загрузку медиа. Тогда трафик не улетит :)
              0

              Пока вы в чат не войдёте телега не начнёт качать изображения. Она качает только то, что пользователь может увидеть в пределах нескольких экранов. Если вы пропустите их, то изображения не скачаются. Это называется Lazy-loading.

              0
              github.com/DrKLO/Telegram/pull/1467
              Оно и в секретных чатах прекрасно хранит всё на диске на андроиде, потому что кто-то по умолчанию использует общий кеш, доступный на чтение вообще любому приложению, вместо внутренного условно-секретного кеша

              Полтора года багу
                0
                Не полтора, а как минимум 5! Вот статья. Только в этой статье упор был на то, что при удалении сообщения всё равно остаётся на диске. Хотя факт того что кэш секретных чатов не должен храниться в пользовательском пространстве не рассматривался как баг, но поведение именно такое.
                +1
                А есть какой-нибудь клиент, который не удаляет сообщения (а также содержимое каналов на устройстве, вместе со всей уже загруженной историей, если канал оказывается удалён)? Жутко бесит такое поведение, которое к тому же создаёт у пользователей иллюзию безопасности.
                  0

                  Насколько мне известно, правила ТГ запрещает такое поведение отключает такие клиенты. Хз как. Насколько помню, подобный функционал был в некоторых альтернативных клиентах. Потом сказали, что так нельзя и этот функционал выпилили

                  0

                  У него ж вроде открыты исходники клиента?


                  Надоели уже удалятели и редактирователи своих сообщений, давно уже хотел покопаться в исходниках и отключить удаление и сделать историю редактирования.

                    0
                    Вообще есть хорошее и удобное правило для алгоритма удаления и редактирования:
                    редактирование и удаление возможно если ваше сообщение еще никто не прочитал.
                      +1
                      Это плохое правило. Допустим, вы входите в группу неугодных власти людей в стране с тоталитарным режимом. Одного из ваших друзей вяжут и забирают. У полиции полный смартфон инкриминирующих вас (с их точки зрения) сообщений.

                      И да, я знаю про самоудаляемые сообщения и т.д. Об этом группа людей вспомнила, когда было уже поздно. Собственно, они внезапно стали неугодны власти, до этого группа людей жила себе и жила.

                      Я не говорю про один телеграм, в общем про мессенджеры. Именно поэтому я и предпочитаю вайбер, где сквозное шифрование по умолчанию и ты можешь удалить свои сообщения у всех в любое время.
                        –4
                        Закон не имеет обратной силы.
                        Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
                        Вот только не надо про «тоталитарный режим проигнорирует и использует». Тоталитарному режиму вообще ваши картиночки не нужны, если будет цель — посадят в независимости от их наличия или отсутствия.
                          +3
                          Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
                          Вы знаете, оно у нас как-то по другому работает. К примеру, то, что вы выложили у себя на страничке в социальной сети ссылку на книгу, которая через год была признана экстремистской, прокурор очень даже вменит вам в вину, не смотря на дату.

                          И да при желании посадят любого и за что хочешь. Но зачем давать им хоть какую-либо помощь в расследовании и в ширме справедливого суда.
                    0
                    /промахнулся веткой/
                      +4

                      Это не оправдание, вас тоже посадят.

                      +1
                      Всегда думал, что это фича, а оказывается можно было зарепортить и подзаработать на этом. Эх…
                        0

                        Та же вигня. Пару лет балуюсь этим. Иногда удаленные фотки друзей восстанавливал и прикалывался над ними. Как же я орал как узнал что за это можно было получить познаграждение...

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое