O pesquisador recusou o prêmio do Telegram e revelou o segredo da “autodestruição” das fotos

Houve um bug no mensageiro do Telegram durante meses, graças ao qual imagens “autodestrutivas” continuaram a ser armazenadas mesmo depois de terem desaparecido do chat. Isso foi dito à comunidade da Internet por um “hacker branco” que certa vez descobriu o problema.

Arstechnica.com

Como outros mensageiros instantâneos, o Telegram há muito tem uma função que permite excluir automaticamente mensagens e quaisquer arquivos anexados após um período especificado. Em fevereiro de 2021, o Telegram anunciou a presença de recursos relevantes em um novo lançamento. A autodelete pode ser realizada 24 horas, uma semana ou um mês após o envio dos dados.

Para configurar as funções correspondentes, basta abrir um chat, selecionar “Limpar histórico” e configurar “Apagar automaticamente mensagens neste chat”. O usuário Dmitry descobriu que, na versão do Android, as mensagens de bate-papos privados e em grupo desapareciam apenas visualmente, enquanto eram salvas no cache.

De acordo com o portal Ars Technica, a vulnerabilidade CVE-2021-41861 está presente nas versões do aplicativo de 7.5.0 a 7.8.0, mensagens e imagens são salvas no diretório / Storage / Emulado / 0 / Telegram / Telegram Image pelo menos por algum tempo após a exclusão declarada. Neste caso, o programa informa ao usuário que os materiais foram totalmente retirados.

Dmitry tentou entrar em contato com representantes do Telegram no início de março e após uma série de cartas e mensagens (a correspondência durou meses), a empresa o contatou em setembro, confirmando a existência do bug. Como recompensa, Dmitry recebeu 1000 euros.

Embora muitas empresas ofereçam recompensas por vulnerabilidades descobertas por hackers brancos, elas geralmente têm permissão para relatá-las após 60-90 dias, o período é negociado individualmente.

Um exame da proposta de contrato, enviada por e-mail, mostrou que os representantes do mensageiro exigem a publicação de quaisquer dados sobre a vulnerabilidade apenas com a autorização por escrito do Telegram. De acordo com Dmitry, tais condições não o agradavam. Depois disso, a empresa passou a ignorá-lo e ele não recebeu nenhum prêmio.

Sabe-se que em 2019, pela descoberta de uma vulnerabilidade semelhante, o investigador recebeu 2.000 euros do Telegram, mas não se sabe ao certo se os voluntários são obrigados a assinar algum documento de sigilo.

Agora o Google Play tem uma versão do Telegram v8.1.2, e o bug parece ter sido corrigido em versões anteriores do messenger.