1563

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост
D/I/ Как подметили в комментах: "Грамотная эскалация на высшие уровни менеджмента должна эту проблему решать." lamkaant.

В конце февраля 2021 года выходит обновленный релиз клиента Telegram с заголовком: ‘Автоудаление, виджеты и временные ссылки для приглашений’.

На красивой, художественной обложке к пресс-релизу новой верси Tg-мессенджера пользователи видят корзину с таймером и уничтоженными данными, а также лицезреют главных героев из культового хакерского сериала Мистер Робот. Но действительно ли все так круто с зачисткой следов как и в сериале?

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Мистер Робот. Зачистка.


Telegram подготовил для пользователей что-то из security-области, а эти дотошные исследователи тут же навострили ручки.

Подробная вербализация одной щекотливой ‘bug bounty’ описана по тексту ниже...


Цитата из пресс-релиза:

Автоматическое удаление сообщений

Уже несколько лет пользователи Telegram могут бесследно удалять сообщения для всех участников беседы. В секретных чатах с 2013 года также есть таймер самоуничтожения, который позволяет не удалять сообщения вручную.


С сегодняшнего дня автоматическое удаление сообщений для всех участников доступно в любом чате. В этом режиме сообщения исчезают через 24 часа или 7 дней после отправки.

Так же информация о sec-функции упомянута тремя пунктами в официальном changelog-e Tg.

* Установите автоматическое удаление сообщений для всех через 24 часа или 7 дней после отправки.

* Управляйте настройками автоудаления в любом из ваших чатов, а также в группах и каналах, в которых вы являетесь администратором.

* Чтобы включить автоматическое удаление, щелкните правой кнопкой мыши чат в списке чатов> Очистить историю> Включить автоматическое удаление.


Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image.


Сам тест на проверку очень прост: устанавливаем таймер автоудаления на 24ч. (в личке или групповых чатах); обмениваемся картинками. Ждем сутки. Проверяем путь /Storage/Emulated/0/Telegram/Telegram Image, картинки автоудалились. Отменяем автоудаление и снова ставим таймер на 24ч и повторяем первоначальные действия. Обычно автоудаление не срабатывает на 2..4 раз. Как только картинки остались в кэше (вышел баг с автоудалением сообщений), можно таймер на чате оставить в покое, все последующие дни будет очищаться только окно сообщений в мессенджере, а картинки будут оставаться в кэше (зачастую у получателей и отправителя, а не только у от отправителя сообщений).

Протестированный на разных гаджетах Android 7-10 (Xiaomi; Samsung; Asus), найденный баг обесценивал функционал: автоудаление сообщений для пользователей, позволяя в будущем эксплуатировать уязвимость в своих личных и безобидных интересах.


Зная о негативном отношении компании Telegram к исследователям (в т.ч. на своем предыдущем опыте), а также найдя интересную информацию в СМИ, что за аналогичный баг Telegram выплатил исследователю 2,5к зеленых шуршунчиков, и в последствии: уязвимости был присвоен CVE-2019-16248 с высоким базовым рейтингом опасности 7.5 пунктов:

The "delete for" feature in Telegram before 5.11 on Android does not delete shared media files from the Telegram Images directory. In other words, there is a potentially misleading UI indication that a sender can remove a recipient's copy of a previously sent image (analogous to supported functionality in which a sender can remove a recipient's copy of a previously sent message),

я принял решение снова поработать с Telegram. Согласно программе bug bounty на Hackerone

5.03.21 я отправил отчет по уязвимости на security@telegram.org. К моему удивлению

7.03.21 я получил ответ (далее по тексту пунктуация и орфография сообщений полностью сохранены):

Hello,

Thank you for your email. We will send you an update soon.

All the best, Telegram Support

По истечению ~месяца тишины (вышло очередное обновление мессенджера, в котором уязвимость “автоудаление сообщений” все еще не была исправлена), и я снова напомнил Telegram о своем письме.

3.04.21 получил следующий ответ:

Hello,

Thank you for your email and sorry for the long wait. We will reply soon.

All the best, Telegram Support

Никакого в ближайшее время обновления я не получал (увидел, что Tg мессенджер снова обновился и проблема всё еще сохраняется) и спустя месяц снова напомнил Tg о своем релевантном отчете 2-х месячной давности.

9.05.21 получил ответ, примерно-который я уже получал:

Hello,

We are sorry for the long wait. We will send you an update soon.

All the best, Telegram Support

Подумав, что переписку ведет бот и до разработчиков мессенджера мне не удастся дописаться, отправил в ответном письме, что если они не против, то я выйду со статьей об уязвимости в СМИ. Такое письмо возымело эффект и через несколько часов

14.05.21 получил ответ:

Hello,

We don't have automatic responses here. Please wait, we will send you an update soon.

All the best, Telegram Support

Я согласился подождать, обычное дело. Через полтора месяца Tg снова обновился до новой версии и снова уязвимость не была исправлена. Я написал в Tg, что уязвимость в новой версии мессенджера все еще не исправлена и

29.06.21 получил ответ:

Hello,

I'm sorry for the delay. Thanks for the details.

Re: logs.

You can send the logs to Saved Messages, open the file and make sure that it does not contain any sensitive information.

All the best, Alex Telegram Support

7.07.21 Я создаю приватный, групповой чат и приглашаю для тестирования бага и наглядности представителя Tg присоединиться к нему.

8.07.21 получаю ответ:

Thanks for the details. There are two different files on your screenshots: they have different names and sizes, and they have been sent in two separate chats.

All the best, Telegram Support

В этот же день в чат заходит представитель Tg (в будущем изменив свое имя с ‘support’ на ‘Николай’) и предлагает в дальнейшем решать вопрос с багом на русском языке.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Тесты


Тестируем мессенджер по моему плану, по его плану. Наглядно показываю, что проблема не выдуманная, когда сообщения-картинки не автоудаляются у 2/3 участников группового чата в рандомном порядке и не автоудаляются в личных чатах. Спустя ~месяц тестирования мессенджера на разных клиентах/версий Android-Telegram (официальных и сторонних: Tg FOSS, Tg GP) Николай признает существование проблемы, и казалось бы развязка уже близка и косвенно затронута тема награды.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Тестирование разных клиентов Tg под Android (FOSS; GP) в групповом чате и личке.


Обещанную в течение недели beta-версию Tg с исправлением так и не прислали, но позже

23.08.21 попросили еще немного подождать. Цитирую:

(Задерживаемся, но про вас помним.)

К началу сентября мне предоставили ссылку на beta-версию Telegram. Поработав с ней я снова сообщил о том, что проблема автоудаления сообщений все еще сохраняется. Ко всему прочему в ней было сломано: “ручное удаление сообщений”, после такой иллюзорной зачистки данных в чате (очистка окна сообщений клиента) все файлы не удалялись с гаджета пользователя и были доступны в кэше там же: /Storage/Emulated/0/Telegram/*. Также наблюдалась проблема с отправкой аудио-сообщений в форматах .wma/.aac. Забраковал. Прогнав следующую build beta-версию Tg, я согласился, что проблема автоудаления сообщений картинок наконец-то исправлена.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Билды beta-версий Tg выходят каждый день.


«Упс! Что-то пошло не так»


Оставалось решить вопрос с наградой и поставить галочку в своем послужном списке.

5.09.21 с security@telegram.org приходит письмо:

Hello,


Thank you for vert long wait. We would like to award you with a bounty of EUR 1,000 for your findings. Could you share the following info for the agreement please?

1. Your bank account details:

* your full name

* bank name

* account number or IBAN for payments in Euro

* SWIFT code

2. Your full address including the postal code.

3. Date of birth.

Much appreciated!


All the best,

Alex

Telegram Support

В ответном письме уточняю: могу ли я получить оплату на PayPal например? Получил ответ, что нет, нужен банковский мой счет в евро и персональные данные.

В ответном письме предоставил Telegram свои персональные данные и свой банковский счет в евро для зачисления награждения в 1к евро.

17.09.21 я получил письмо с security@telegram.org на русском языке:

Спасибо! Подпишите, пожалуйста, договор на двух последних страницах и пришлите, пожалуйста, весь документ как PDF. Можно использовать DocuSign, если неудобно печатать.

С уважением,

Alex

Обычно при обнаружении уязвимостей исследователи и разработчики руководствуются в программах подобных bug bounty пунктом о разумных сроках по ответственному раскрытию информации, чтобы у разработчиков было время на исправление, а у исследователя его слава. Например, когда я репортил уязвимость в Яндекс, срок молчания составлял 90 дней. А после окончания срока я всё равно уточнял у Яндекса о том, могу ли я раскрыть тех.детали в СМИ? И тогда сотрудники транснациональной корпорации мягко свели мою просьбу на ‘нет’. И в СМИ (тогда 2020 году) я не опубликовался, сохранив общение с командой Яндекса на позитивной ноте. В течении следующего 2021 года зарепортил еще одну уязвимость по Яндексу и без проблем получил вознаграждение, а также оставил за собой моральное право на публикацию материалов согласно положению об охоте за ошибками.


Но вот иногда компании с хорошей репутацией пытаются вести свои игры.


Изучив присланный на email договор представителем Telegram, обратил внимание на то, что Telegram требует не раскрывать никаких деталей сотрудничества/тех.подробностей по умолчанию без своего письменного одобрения, в т.ч. чеки, банковские выписки и публикации в СМИ с упоминанием имени компании и тд. Договор у Telegram (в моем случае) оказался расписан аж на 8 страницах (приложен в конце статьи), а сама публичная программа мягко говоря сокращена.

Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей Telegram, Баг, Подстава, Гифка, Видео, Длиннопост

Описание всей программы bug bounty (правила, что можно, и как нужно...).


Договор я не подписал, а в ответном письме отправил вопросы по нему (цитата):

Здравствуйте представители и разработчики Telegram!


Некоторые вопросы по договору:

в договоре п1.2. “Confidential Information” сообщается, что к конфиденциальной информации относятся (в том числе и):: техническая информация; и даже уровни сборов и комиссий. И согласно п9.1::. "Консультант не должен ни в течение срока действия настоящего Соглашения, ни в любое другое время после его расторжения: 9.1.1. разглашать или передавать любую Конфиденциальную информацию любому лицу, компании, юридическому лицу или другой организации 9.3. Консультант не должен ссылаться на Компанию или любую Компанию Группы в каком-либо пресс-релизе, реклама или материалы без предварительного письменного согласия Компании."

По умолчанию получается, что Telegram "против" практически любого раскрытия информации без специального письменного запроса. Кроме того при получении гонорара я обязан отчитаться в налоговый орган и предоставить чек, в котором будет отражено получении гонорара (и этот чек также попадает под конфиденциальные данные, что является странным). Можем ли мы в договоре изменить сроки в п9.1 на разумные сроки о неразглашении каких-либо деталей?

Если все же об оказанных услугах/исследованиях не стоит нигде и никогда публично распространяться в СМИ и тд., (в любом случае) можете ли вы пересмотреть добросовестный, финансовый гонорар относительно аналогичной уязвимости, за которую исследователь получил вознаграждение в разы выше, чем предлагается в мою пользу по договору и учитывая мои настойчивые старания по усилению конфиденциальности мессенджера?


Спасибо вам! И на связи.

Выше был последний ping с представителями компании Telegram, после которого те перестали выходить на связь, оборвав общение.


27.09.21 и 28.09.21 Я написал на почту Telegram напоминание о письме без ответа и попросил в Tg Николая напомнить коллегам о переписке. Кроме того я добавил, что баги, которые я обнаружил в beta-версии Telegram (в т.ч. сломанное ‘ручное удаление сообщений’, тот баг за который исследователь в прошлом получил 2,5к $) перешли в официальный релиз (при переходе с beta на версию FOSS и далее на версию Tg с оф.сайта). Он прочитал, но промолчал. И (пару недель молчания) я принял решение обнародовать имеющиеся материалы в СМИ.


Выводы


Конфиденциальность пользователей Telegram снова осталась под угрозой. Пользователи надеются/надеялись на заявленный security-функционал: автоудаление сообщений (картинок), который не работал, как задумано на Android устройствах до версии v8+ (на других платформах баг не проверял) и который вводил их в заблуждение.


Помог разработчикам устранить уязвимость с автоудалением сообщений в мессенджере в период полугода: с 5 марта по 5 сентября 2021 года. Для тех, кто хочет прогнать bug, могут скачать Tg FOSS v7.7 или v7.8.


В официальных пресс-релизах новых версий Telegram не упоминалось ни разу о существовании и решении проблемы с автоудалением сообщений. https://desktop.telegram.org/changelog https://telegram.org/blog


Так как все мои чаты настроены на автоудаление сообщений, иногда эксплуатировал баг, чтобы восстановить данные, которые пользователи считали уничтоженными имея веру в Telegram и даже не знали о проблемах, и в будущем не могли повлиять на их ликвидацию, например, с помощью ручной очистки чата.


Обещанную награду от Telegram ни в 1000 евро ни какую другую я не получил.


Неизвестно: сколько уязвимостей остается/останется ‘замятых’ из-за требований Telegram:: не распространяться и косвенно о проблемах мессенджера публично без письменного одобрения со стороны Telegram. Но при этом П. Дуров в СМИ призывает своих пользователей не верить на слово исследователям, а доверять только оф.информации компании, которая иногда чувствительная и скрывается/контролируется юридическими договорами заключенными с исследователями.

Мы рекомендуем пользователям не полагаться на СМИ и дожидаться официальных объявлений Telegram.

П.Дуров


Мы не хотим платить журналистам и исследователям, чтобы они рассказывали о Telegram.

П.Дуров

Прилагаю договор, который мог бы быть заключен между мной и Telegram, но был отвергнут (в нем изменены только мои персональные данные: ФИО и адрес).


Прилагаю, самое первое (от 5.03.21 года) и последнее (от 28.09.21 года) видео с воспроизведением проблемы в Tg: автоудалением/ручной очисткой чатов.

Перепечатка своей статьи.

Информационная безопасность

1.2K постов22.7K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Подробнее
Лучшие посты за сегодня
7903

Как делают бумагу

6024

Как моя Мама отказалась от меня

Показать полностью
5436

Не успел

Не успел
5080

Олды тут?;)

Олды тут?;) Юмор, Картинка с текстом, Повтор, Blendamed
Показать полностью 1
4974

ГачиТВ представляет...

ГачиТВ представляет... Билли Херрингтон, Gachimuchi, Афганистан, Телевидение, Картинка с текстом, Van Dakrholme, Юмор
Показать полностью 1
4484

Детский рассудок

Детский рассудок
4482

Конклавно

Конклавно Китай, Ухань, Конклав, Штамм, Коронавирус, Юмор
4290

Самые яркие воспоминания из детства

3964

Пропал ребенок г. Ростов-на-Дону

Пропал ребенок г. Ростов-на-Дону Пропал человек, Без рейтинга, Поиск людей
3747

Про душнил. И я такой же

Показать полностью
3562

Попытка создания порно рассказа окончилась плачевно...

3546

Здесь прекрасно всё...

Здесь прекрасно всё... Копипаста, Полиция, Наркотики, Мошенничество, Никогда не сдавайся
3249

Мечта сбылась

3198

Про "гостей"

3171

Аж чуть не прослезился...

3031

Лица гор без национальности

Лица гор без национальности Национальность, Без национальности, Волна постов, Картинки, Кавказцы, Запрет упоминания национальности
2876

Про тех кто хочет много зарабатывать, а вокруг одни 3,14расы

2824

Парикмахер

Парикмахер
2715

Безнационалный человек оттолкнул полицейского

Безнационалный человек оттолкнул полицейского Видео, Новости, Комментарии, Длиннопост, Повтор, Без национальности, Негатив
Безнационалный человек оттолкнул полицейского Видео, Новости, Комментарии, Длиннопост, Повтор, Без национальности, Негатив
Безнационалный человек оттолкнул полицейского Видео, Новости, Комментарии, Длиннопост, Повтор, Без национальности, Негатив
Безнационалный человек оттолкнул полицейского Видео, Новости, Комментарии, Длиннопост, Повтор, Без национальности, Негатив
Показать полностью 3 1
2681

Вставайте, граф!

Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: