Исследователи нашли в Telegram баг, угрожающий конфиденциальности пользователей.
Речь идёт о функции удаления сообщений для собеседника — оказалось, что получатель мог просмотреть содержимое сообщения даже после его удаления.
По словам специалистов, медиаконтент удаленных сообщений оставался во внутреннем хранилище получателя.
В директории, расположенной по пути /Telegram/Telegram Images/, можно было найти фотографии и картинки, несмотря на то, что отправитель уже очистил от них чат.
Баг был обнаружен в ходе изучения Telegram и протокола MTProto. Эксперты описывают некорректную работу функции «Удалить также для *имя собеседника*».
Если пользователь по ошибке отправил какой-либо медиаконтент, а потом, спохватившись, быстро удалил его из чата, у него создавалось ложное впечатление, что получатель уже никак не сможет получить доступ к этим материалам. На самом же деле все оставалось в директории /Telegram/Telegram Images/. Таким образом, контент удалялся исключительно из окна чата.
Исследователь опубликовал PoC-видео, демонстрирующее его выводы. К слову, так нелюбимый Дуровым WhatsApp в этом случае как раз отрабатывает грамотно — удаляется содержимое из папки /Whatsapp/Whatsapp Media/Whatsapp Images/. Обнаруживший баг специалист сообщил о нем разработчикам мессенджера, которые уже выпустили патч и выплатили ему €2500.
Источник: https://www.anti-malware.ru/news/2019-09-10-1447/30705