При удалении сообщений в Telegram изображения оставались на смартфонах всех участников чата +12





Telegram исправил ошибку, которая нарушила одну из ключевых функций конфиденциальности приложения чата — возможность удалять ваши сообщения.

Telegram заявлял, что приложение может отзывать сообщения, отправленные вашим друзьям. Отозванные чаты должны быть удалены с устройства собеседника.

Тем не менее, баг-хантер Дирадж Мишра заявил изданию The Register, что, хотя текстовое содержание сообщений будет удалено, все прикрепленные изображения останутся на телефоне.

«Предположим, что Боб отправляет изображение, и отправляет его по ошибке Алисе. Боб удаляет сообщение, используя функцию Telegram, известную как «Также удалить для Алисы», которая, по сути, удаляет сообщение для Алисы, — рассказывает Мишра, который нашел ошибку и в частном порядке сообщил об этом Telegram. — Очевидно, эта функция не работает должным образом, так как Алиса все равно сможет видеть изображение, хранящееся в папке Telegram Images. Функция удаляет изображение только из окна чата».

Как отметил Дирадж, он нашёл уязвимость в версии Telegram для Android.

«Я не проверял, как работает эта функция в Telegram для iOS и Windows, но предполагаю, что эта проблема будет существовать и на этих платформах».

Хотя такая уязвимость мессенджера может быть достаточно неудобной для чата один на один, особенно она опасна в чатах большой группы. Мишра отметил, что в некоторых случаях в группы Telegram могут входить тысячи людей, и, если человек по ошибке прикрепит изображение с частной или конфиденциальной информацией у него не будет никакого способа убедиться, что изображение было удалено.

«Вы полагаетесь на функцию, которая не работает, поскольку ваш файл все равно будет присутствовать в хранилище для всех пользователей», — отметил Мишра.

Telegram, похоже, согласился с выводами баг-хантера. Разработчики приложения наградили Мишру наградой в размере €2,3 тысячи (около 165 тысяч ?) и выпустили обновление для устранения недостатка. Пользователям рекомендуется обновить приложение до последней версии (5.11 или выше) или использовать функцию «Секретный чат», где изображения удаляются для обеих сторон.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (23):

  1. Arty_Fact
    /#20611461 / +3

    Даже в секретном чате можно нажать сохранить, и никто эту картинку не удалит с твоего телефона. Поэтому в целом лучше не полагаться, что отправленное изображение будет удалено.

    • foxyrus
      /#20611471

      Скриншот сообщения и изображения можно сделать.

      • antarx
        /#20611629

        О скриншоте приходит сообщение в сикрет чат.

        • JustDont
          /#20611733 / +3

          И о том, что экран телефона кто-то сфоткал — тоже придёт, ага.
          Проблемы безопасности устройства не решаются софтом этого устройства.

  2. Porohovnik
    /#20611659 / +4

    я всегда думал что это фича, а не баг… а вот оно как… (А вообще это как-то неправильно, я трачу трафик(т.е деньги) чтобы изображение скачивались мне на телефон… а он такой скачивает а потом удаляет...)


    А теперь открылась очень интересная ситуация-если у человека настроена авто скачивания всего из чата, то можно нагрузить Тула скажем с помощью бота 100000 изображений, а потом удалить их.
    И всё, можно лишить человека трафика…
    В прошлой версии я бы хотя бы это смог узнать...

    • AllexIn
      /#20613051

      Странный кейс.
      Зачем удалять, если цель лишить трафика?

      • Porohovnik
        /#20613287

        Скрыть следы, так человек будет грешить на всё что угодно, а так он будет точно знать что это телега виновата, и скорее всего просто отключит эту функцию.(т.е повторная атака будет уже недоступна)

        • QDeathNick
          /#20613399

          Зачем на что-то грешить, если с графиками видно кто именно съел трафик.
          Разве не на всех смартфонах можно смотреть на что ушёл трафик?
          Но конечно это не сильно поможет понять как телеграм съел терабайты.

    • censor2005
      /#20613611

      Надо в настройках отключить автоматическую загрузку медиа. Тогда трафик не улетит :)

    • bano-notit
      /#20617299

      Пока вы в чат не войдёте телега не начнёт качать изображения. Она качает только то, что пользователь может увидеть в пределах нескольких экранов. Если вы пропустите их, то изображения не скачаются. Это называется Lazy-loading.

  3. sphinxy
    /#20611845

    github.com/DrKLO/Telegram/pull/1467
    Оно и в секретных чатах прекрасно хранит всё на диске на андроиде, потому что кто-то по умолчанию использует общий кеш, доступный на чтение вообще любому приложению, вместо внутренного условно-секретного кеша

    Полтора года багу

    • fur_habr
      /#20611895

      Не полтора, а как минимум 5! Вот статья. Только в этой статье упор был на то, что при удалении сообщения всё равно остаётся на диске. Хотя факт того что кэш секретных чатов не должен храниться в пользовательском пространстве не рассматривался как баг, но поведение именно такое.

  4. JTG
    /#20612183 / +1

    А есть какой-нибудь клиент, который не удаляет сообщения (а также содержимое каналов на устройстве, вместе со всей уже загруженной историей, если канал оказывается удалён)? Жутко бесит такое поведение, которое к тому же создаёт у пользователей иллюзию безопасности.

    • fouriki
      /#20613645

      Насколько мне известно, правила ТГ запрещает такое поведение отключает такие клиенты. Хз как. Насколько помню, подобный функционал был в некоторых альтернативных клиентах. Потом сказали, что так нельзя и этот функционал выпилили

  5. Goodkat
    /#20612201

    У него ж вроде открыты исходники клиента?


    Надоели уже удалятели и редактирователи своих сообщений, давно уже хотел покопаться в исходниках и отключить удаление и сделать историю редактирования.

    • AllexIn
      /#20613053

      Вообще есть хорошее и удобное правило для алгоритма удаления и редактирования:
      редактирование и удаление возможно если ваше сообщение еще никто не прочитал.

      • ProRunner
        /#20613217

        Это плохое правило. Допустим, вы входите в группу неугодных власти людей в стране с тоталитарным режимом. Одного из ваших друзей вяжут и забирают. У полиции полный смартфон инкриминирующих вас (с их точки зрения) сообщений.

        И да, я знаю про самоудаляемые сообщения и т.д. Об этом группа людей вспомнила, когда было уже поздно. Собственно, они внезапно стали неугодны власти, до этого группа людей жила себе и жила.

        Я не говорю про один телеграм, в общем про мессенджеры. Именно поэтому я и предпочитаю вайбер, где сквозное шифрование по умолчанию и ты можешь удалить свои сообщения у всех в любое время.

        • AllexIn
          /#20613253 / -1

          Закон не имеет обратной силы.
          Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
          Вот только не надо про «тоталитарный режим проигнорирует и использует». Тоталитарному режиму вообще ваши картиночки не нужны, если будет цель — посадят в независимости от их наличия или отсутствия.

          • ProRunner
            /#20613347

            Либо вы что-то делали и оно было незаконным уже на тот момент(а не внезапно), либо то что вы делали не может служить доказательством вашей вины.
            Вы знаете, оно у нас как-то по другому работает. К примеру, то, что вы выложили у себя на страничке в социальной сети ссылку на книгу, которая через год была признана экстремистской, прокурор очень даже вменит вам в вину, не смотря на дату.

            И да при желании посадят любого и за что хочешь. Но зачем давать им хоть какую-либо помощь в расследовании и в ширме справедливого суда.

  6. ProRunner
    /#20613213

    /промахнулся веткой/

    • QDeathNick
      /#20613409 / +1

      Это не оправдание, вас тоже посадят.

  7. censor2005
    /#20613235 / +1

    Всегда думал, что это фича, а оказывается можно было зарепортить и подзаработать на этом. Эх…

    • da411d
      /#20613863

      Та же вигня. Пару лет балуюсь этим. Иногда удаленные фотки друзей восстанавливал и прикалывался над ними. Как же я орал как узнал что за это можно было получить познаграждение...