首页 科技正文

研究人员拒绝Telegram奖励,披露自动删除错误

发布者:佚名发布时间:2021-10-12访问量:760

Telegram 今年早些时候在其应用程序中修复了另一个图像自毁错误。该缺陷与 2019 年报告的问题不同。但是报告该错误的研究人员对 Telegram 长达数月的周转时间并不满意,并提供了 1,000 欧元(1,159 美元)的悬赏以换取他的沉默。

自毁图像保留在设备上

与其他消息传递应用程序一样,Telegram 允许发件人将通信设置为“自毁”,以便在一段时间后自动从设备中删除消息和任何媒体附件。这种功能为打算谨慎通信的发件人和收件人提供了扩展的隐私。


2021 年 2 月,Telegram在其 2.6 版本中引入了一组此类自动删除功能:

将消息设置为在发送 24 小时或 7 天后为所有人自动删除

在您的任何聊天以及您作为管理员的群组和频道中控制自动删除设置

要启用自动删除,请右键单击聊天列表中的聊天 > 清除历史记录 > 启用自动删除

但几天后,匿名研究员 Dmitrii 发现了 Telegram Android 应用程序如何实现自毁的一个令人担忧的缺陷。

由于每个自毁实例至少需要 24 小时才能运行,因此 Dmitrii 的测试跨越了几天。


跟踪为 CVE-2021-41861,该缺陷相当简单。在 Telegram Android 应用程序版本 7.5.0 到 7.8.0 中,在/Storage/Emulated/0/Telegram/Telegram Image 使用自毁功能大约两到四次后,自毁图像会保留在设备的目录中。但是 UI 似乎向用户表明媒体已被正确销毁。

但是对于像这样的简单错误,要引起 Telegram 的注意并不容易,Dmitrii 解释说。研究人员在 3 月初联系了 Telegram。在研究人员和 Telegram 之间长达数月的一系列电子邮件和文本通信之后,该公司于 9 月联系了 Dmitrii,最终确认了该漏洞的存在,并在 Beta 测试期间与研究人员合作。由于他的努力,Dmitrii 获得了 1,000 欧元(1,159 美元)的漏洞赏金奖励。

尽管许多拥有漏洞赏金计划的公司向识别并负责任地报告漏洞的道德黑客提供金钱奖励,但通常允许在约定的 60 或 90 天期限后披露安全漏洞。

“在研究了 Telegram 代表通过电子邮件发送的合同后,我提请注意一个事实,即 Telegram 要求 [我] 在未经书面批准的情况下,默认情况下不得披露任何合作细节/技术细节,”德米特里写道,他指的是八个- 公司向研究人员提供的长达一页的 协议。

从那以后,研究人员声称他被 Telegram 迷住了,它没有给出任何回应,也没有任何奖励。“我没有收到 Telegram 承诺的 1,000 欧元或其他任何奖励,”他写道。

有趣的是,在 2019 年,另一位研究人员报告了一个与自毁功能相关的单独错误,他获得了更高的错误赏金——2,500 欧元(2,897 美元)的奖励,而不是微不足道的 1,000 欧元。

由 HackerOne 管理的Telegram 漏洞报告程序也不清楚该公司的负责任披露协议。该文件进一步链接到一个常见问题解答,其中 提到 了 Telegram 组织的“赏金”和“破解竞赛”,但没有关于是否或何时可以披露安全问题。

正如 Ars 所看到的,9 月 22 日发布的最新版 Telegram Android 应用程序是Google Play 商店中的v8.1.2 , 尽管报告的错误可能已在早期版本中修复。无论如何,Telegram 用户应该将他们的应用更新到最新版本,以接收当前和未来的安全更新。

千红一香烟批发网收集的资料来源于互联网,转载目的在于传递更多信息。本文链接:http://www.qianhongyi.com/post/72712.html