Что такое баг в телеграм
На днях скинули тему с Bug Tracker Telegram, которую уже удалили, но я успел взять инфу с примерами, плюсом добавлю от себя как это работает и как защититься. Прошу админов форума не удалять тему, т.к. иных решений данной ситуации нет. Возможно, освещение этой проблемы даст шансы на скорейший фикс Телеграма и баг залатают. Попрошу тех, кто в курсе темы не писать «уже все знают» или «накрутка арабами не новость». Так же я не призываю кого-либо к каким-либо действиям связанными с абьюзом этого бага, тема создана лишь для ознакомления. Я всегда ПРОТИВ каких-либо накруток!
Удаление через «личный botnet» и как работает bug:
Многие прибегают к созданию личного дешевого botnet’a, регистрируя аккаунты в Telegram с помощью virtual phone numbers сайтов и чистых ПЛАТНЫХ proxy, с разных устройств (используя virtual machine), по 3х аккаунта за раз;
Потом подписывают 5000 ботов на канал: по 20 аккаунтов в секунду за 4-5 минут Лог подписок будет при такой накрутки примерно такой:
Исходя из лога понимаем, что такой способ должен вмещать 5к ботов в 5 минут, чем больше клиентских запросов на канал - тем выше шанс бана (20 ботов на секунду);
Спустя час канал автоматически пропадает из глобального поиска Телеграм;
Удаление через Посредников:
Вариант - Покупка контакта «мифический араб»© за 100+$ на форумах, который просто воспользуется панелью из 1. Варианта (это развод);
Вариант - Заказ одновременно самых дешевых МГНОВЕННЫХ (с определенной скоростью накрутки в минуту) накруток с разных сайтов.
Что известно и как защититься:
Софт, который закрывает канал и передает username другому каналу, помогает, но если в процессе вы попадете под лимит действий, то username вы можете потерять.
Боты с защитой от массовых подписок не спасают, но инфа была отправлена всем разрабам, которые занимаются такими ботами. Будем надеяться, что они что-нибудь придумают.
Баг работает на каналах, которые стоят на русской и украинской симкарте. “Тайный способ” с подменой гео номера симкарты на Иран или США работает, но канал все равно застрянет в поиске, но не пропадет. + Никто не даст вам гарантии, что номер, который вы арендовали не забанится.
По словам Анны, свой iPhone 5c она купила с рук в ноябре 2015 года после того, как у неё украли предыдущий айфон. Прошлая владелица решила не сбрасывать устройство на заводские настройки, но из всех аккаунтов девушки последовательно вышли — как в приложениях, так и в iCloud.
За первый месяц использования смартфона никаких проблем замечено не было, однако в январе девушке начали приходить чужие уведомления в Telegram.
Поддержка девушке оперативно не ответила, поэтому она просто удалила Telegram, которым почти не пользовалась на тот момент. Однако с недавнего времени мессенджер понадобился ей вновь.
Неделю назад всё началось снова. Я работаю в рекламном агентстве, мы часто используем Telegram для общения по работе.
И вот сегодня я опять очутилась в каком-то чате, но на этот раз он оказался рабочим, как и у нас в агентстве, где также обсуждаются проекты.
И тут меня осенило. А вдруг кто-то так же читает мой чат?!
По просьбе TJ Анна сняла баг на видео. Она попросила извиниться перед читателями за то, что во время записи назвала версию приложения Telegram «лицензионной» вместо «официальной».
Увидев, что чат называется SMM, Анна поначалу подумала, что по ошибке попала в массовый чат SMM-щиков (такие есть и во «ВКонтакте», и в Telegram), однако позже заметила, что ей приходят уведомления только от нескольких людей — Ильи Клишина, Антона Астафурова, Дениса Касянчука, Алексея Абанина и Даниила Зубова. Все они являются сотрудниками телеканала «Дождь».
По словам девушки, SMM «Дождя» появился в её Telegram не сразу. Первые две недели после установки мессенджер работал нормально, после чего ей начали приходить уведомления от неизвестных людей. SMM-чат «Дождя» появился уже позже.
Анна утверждает, что с момента покупки устройство она никому не давала, не переставляла SIM-карты и не позволяла другим людям логиниться в своём Telegram. На смартфоне нет джейлбрейка и установлена iOS 9.3.2.
После того, как Анна обратилась в TJ, поддержка Telegram ей всё-таки ответила и предложила завершить все активные сессии, что девушка и сделала.
В процессе общения агент поддержки, по-видимому, решил, что проблема была именно в том, что девушка использовала не новый телефон, однако не объяснил, что она сделала неправильно и чем вызвала баг.
Анна отметила, что техника Apple часто перепродаётся, и заявила, что видит в произошедшем нарушение приватности, однако в поддержке ей заявили, что «выясняют подробности» и снова пропали на неопределённое время.
Тем временем закрытие активных сессий не только не помогло, но и усугубило ситуацию: уведомления начали приходить Анне сотнями.
В разговоре с TJ Павел Дуров сообщил, что причиной неисправности действительно был баг. По версии Telegram, телефон достался девушке от друга, который состоял в чате «Дождя» и удалил приложение, не сняв авторизацию.
По словам самой Анны, телефон она купила у подруги, которая на тот момент не имела отношения к «Дождю».
Дуров рассказал, что об этой неисправности известно давно. Её зафиксировали и устранили, но только для новых случаев. Тогда как для уже пострадавших людей она не решилась. Им не стали сбрасывать кэш, и принудительно сбросили только после обращения TJ, хотя пользователи могли сделать это и самостоятельно.
Однако Анна Горбачёва получает неотключаемые уведомления из чужих чатов до сих пор — даже после закрытия всех активных сессий.
В процессе подготовки этого материала выяснилось, что перелогин (вход и выход из аккаунта) является достаточно распространённой «болячкой» Telegram.
Бывший сотрудник «Комитета» Егор Монахов рассказал TJ о похожей истории с получением доступа к чужому списку контактов, которая неожиданно закончилась появлением в листе его друзей актёра Дмитрия Дюжева или кого-то, кто выдавал себя за него.
Примерно год назад срочно понадобилось воспользоваться своим Telegram-аккаунтом с планшета бывшей девушки, на котором до этого уже стоял активный аккаунт.
Мой телефон сел, но нужно было что-то срочно кому-то написать. Спустя пару дней мне в мессенджер пришло уведомление о том, что непонятный мне контакт присоединился к Telegram. Потом за ним ещё одно, потом ещё. На третьем я понял, что это контакт из записной книжки моей девушки.
Как оказалось, все наши контакты перемешались на сервере мессенджера. То есть сразу, как только персонаж из записной книжки девушки регистрировался в нем, он автоматически появлялся у меня и сохранялся в записной книжке телефона.
Когда расстался с девушкой, проблема начала раздражать. Написал в поддержку, там сказали, что такой баг действительно есть, и для того, чтобы всё это остановить, одному из нас нужно удалить аккаунт. Девушке он был не нужен, так что мой остался цел.
Спустя месяц в моем Telegram появился Дмитрий Дюжев.
Это не баг, это фича ;)
Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей
D/I/ Как подметили в комментах: "Грамотная эскалация на высшие уровни менеджмента должна эту проблему решать." lamkaant.
В конце февраля 2021 года выходит обновленный релиз клиента Telegram с заголовком: ‘Автоудаление, виджеты и временные ссылки для приглашений’.
На красивой, художественной обложке к пресс-релизу новой верси Tg-мессенджера пользователи видят корзину с таймером и уничтоженными данными, а также лицезреют главных героев из культового хакерского сериала Мистер Робот. Но действительно ли все так круто с зачисткой следов как и в сериале?
Мистер Робот. Зачистка.
Telegram подготовил для пользователей что-то из security-области, а эти дотошные исследователи тут же навострили ручки.
Подробная вербализация одной щекотливой ‘bug bounty’ описана по тексту ниже.
Так же информация о sec-функции упомянута тремя пунктами в официальном changelog-e Tg.
* Управляйте настройками автоудаления в любом из ваших чатов, а также в группах и каналах, в которых вы являетесь администратором.
* Чтобы включить автоматическое удаление, щелкните правой кнопкой мыши чат в списке чатов> Очистить историю> Включить автоматическое удаление.
Зная о негативном отношении компании Telegram к исследователям (в т.ч. на своем предыдущем опыте), а также найдя интересную информацию в СМИ, что за аналогичный баг Telegram выплатил исследователю 2,5к зеленых шуршунчиков, и в последствии: уязвимости был присвоен CVE-2019-16248 с высоким базовым рейтингом опасности 7.5 пунктов:
The "delete for" feature in Telegram before 5.11 on Android does not delete shared media files from the Telegram Images directory. In other words, there is a potentially misleading UI indication that a sender can remove a recipient's copy of a previously sent image (analogous to supported functionality in which a sender can remove a recipient's copy of a previously sent message),
я принял решение снова поработать с Telegram. Согласно программе bug bounty на Hackerone
Hello,
Thank you for your email. We will send you an update soon.
All the best, Telegram Support
3.04.21 получил следующий ответ:
Hello,
Thank you for your email and sorry for the long wait. We will reply soon.
All the best, Telegram Support
Никакого в ближайшее время обновления я не получал (увидел, что Tg мессенджер снова обновился и проблема всё еще сохраняется) и спустя месяц снова напомнил Tg о своем релевантном отчете 2-х месячной давности.
9.05.21 получил ответ, примерно-который я уже получал:
Hello,
We are sorry for the long wait. We will send you an update soon.
All the best, Telegram Support
Подумав, что переписку ведет бот и до разработчиков мессенджера мне не удастся дописаться, отправил в ответном письме, что если они не против, то я выйду со статьей об уязвимости в СМИ. Такое письмо возымело эффект и через несколько часов
14.05.21 получил ответ:
Hello,
We don't have automatic responses here. Please wait, we will send you an update soon.
All the best, Telegram Support
Я согласился подождать, обычное дело. Через полтора месяца Tg снова обновился до новой версии и снова уязвимость не была исправлена. Я написал в Tg, что уязвимость в новой версии мессенджера все еще не исправлена и
29.06.21 получил ответ:
7.07.21 Я создаю приватный, групповой чат и приглашаю для тестирования бага и наглядности представителя Tg присоединиться к нему.
8.07.21 получаю ответ:
Thanks for the details. There are two different files on your screenshots: they have different names and sizes, and they have been sent in two separate chats.
All the best, Telegram Support
В этот же день в чат заходит представитель Tg (в будущем изменив свое имя с ‘support’ на ‘Николай’) и предлагает в дальнейшем решать вопрос с багом на русском языке.
месяц тестирования мессенджера на разных клиентах/версий Android-Telegram (официальных и сторонних: Tg FOSS, Tg GP) Николай признает существование проблемы, и казалось бы развязка уже близка и косвенно затронута тема награды.
Тестирование разных клиентов Tg под Android (FOSS; GP) в групповом чате и личке.
Обещанную в течение недели beta-версию Tg с исправлением так и не прислали, но позже
23.08.21 попросили еще немного подождать. Цитирую:
(Задерживаемся, но про вас помним.)
Билды beta-версий Tg выходят каждый день.
Оставалось решить вопрос с наградой и поставить галочку в своем послужном списке.
Hello,
Thank you for vert long wait. We would like to award you with a bounty of EUR 1,000 for your findings. Could you share the following info for the agreement please?
1. Your bank account details:
* your full name
* bank name
* account number or IBAN for payments in Euro
* SWIFT code
2. Your full address including the postal code.
3. Date of birth.
Much appreciated!
All the best,Alex
Telegram Support
В ответном письме уточняю: могу ли я получить оплату на PayPal например? Получил ответ, что нет, нужен банковский мой счет в евро и персональные данные.
В ответном письме предоставил Telegram свои персональные данные и свой банковский счет в евро для зачисления награждения в 1к евро.
Спасибо! Подпишите, пожалуйста, договор на двух последних страницах и пришлите, пожалуйста, весь документ как PDF. Можно использовать DocuSign, если неудобно печатать.
Обычно при обнаружении уязвимостей исследователи и разработчики руководствуются в программах подобных bug bounty пунктом о разумных сроках по ответственному раскрытию информации, чтобы у разработчиков было время на исправление, а у исследователя его слава. Например, когда я репортил уязвимость в Яндекс, срок молчания составлял 90 дней. А после окончания срока я всё равно уточнял у Яндекса о том, могу ли я раскрыть тех.детали в СМИ? И тогда сотрудники транснациональной корпорации мягко свели мою просьбу на ‘нет’. И в СМИ (тогда 2020 году) я не опубликовался, сохранив общение с командой Яндекса на позитивной ноте. В течении следующего 2021 года зарепортил еще одну уязвимость по Яндексу и без проблем получил вознаграждение, а также оставил за собой моральное право на публикацию материалов согласно положению об охоте за ошибками.
Но вот иногда компании с хорошей репутацией пытаются вести свои игры.
Изучив присланный на email договор представителем Telegram, обратил внимание на то, что Telegram требует не раскрывать никаких деталей сотрудничества/тех.подробностей по умолчанию без своего письменного одобрения, в т.ч. чеки, банковские выписки и публикации в СМИ с упоминанием имени компании и тд. Договор у Telegram (в моем случае) оказался расписан аж на 8 страницах (приложен в конце статьи), а сама публичная программа мягко говоря сокращена.
Описание всей программы bug bounty (правила, что можно, и как нужно. ).
Договор я не подписал, а в ответном письме отправил вопросы по нему (цитата):
Здравствуйте представители и разработчики Telegram!
Некоторые вопросы по договору:
в договоре п1.2. “Confidential Information” сообщается, что к конфиденциальной информации относятся (в том числе и):: техническая информация; и даже уровни сборов и комиссий. И согласно п9.1. "Консультант не должен ни в течение срока действия настоящего Соглашения, ни в любое другое время после его расторжения: 9.1.1. разглашать или передавать любую Конфиденциальную информацию любому лицу, компании, юридическому лицу или другой организации 9.3. Консультант не должен ссылаться на Компанию или любую Компанию Группы в каком-либо пресс-релизе, реклама или материалы без предварительного письменного согласия Компании."
По умолчанию получается, что Telegram "против" практически любого раскрытия информации без специального письменного запроса. Кроме того при получении гонорара я обязан отчитаться в налоговый орган и предоставить чек, в котором будет отражено получении гонорара (и этот чек также попадает под конфиденциальные данные, что является странным). Можем ли мы в договоре изменить сроки в п9.1 на разумные сроки о неразглашении каких-либо деталей?
Если все же об оказанных услугах/исследованиях не стоит нигде и никогда публично распространяться в СМИ и тд., (в любом случае) можете ли вы пересмотреть добросовестный, финансовый гонорар относительно аналогичной уязвимости, за которую исследователь получил вознаграждение в разы выше, чем предлагается в мою пользу по договору и учитывая мои настойчивые старания по усилению конфиденциальности мессенджера?
Спасибо вам! И на связи.
Выше был последний ping с представителями компании Telegram, после которого те перестали выходить на связь, оборвав общение.
Обещанную награду от Telegram ни в 1000 евро ни какую другую я не получил.
Неизвестно: сколько уязвимостей остается/останется ‘замятых’ из-за требований Telegram:: не распространяться и косвенно о проблемах мессенджера публично без письменного одобрения со стороны Telegram. Но при этом П. Дуров в СМИ призывает своих пользователей не верить на слово исследователям, а доверять только оф.информации компании, которая иногда чувствительная и скрывается/контролируется юридическими договорами заключенными с исследователями.
Мы рекомендуем пользователям не полагаться на СМИ и дожидаться официальных объявлений Telegram.
П.Дуров
Мы не хотим платить журналистам и исследователям, чтобы они рассказывали о Telegram.
П.Дуров
Прилагаю договор, который мог бы быть заключен между мной и Telegram, но был отвергнут (в нем изменены только мои персональные данные: ФИО и адрес).
Прилагаю, самое первое (от 5.03.21 года) и последнее (от 28.09.21 года) видео с воспроизведением проблемы в Tg: автоудалением/ручной очисткой чатов.
Telegram не является самым популярным мессенджером в стране. Но опыт подсказывает, что именно им чаще других пользуются в профессиональных целях. Он отличается трепетным отношением к конфиденциальности и сохранности данных. Это важно.
Сам настолько давно отдаю предпочтение Telegram, что даже страшно становится. Но куда больше меня пугает обилие возможностей, о которых я даже не слышал. Данный материал расскажет про самые интересные из них.
Крайне полезная фишка с неочевидной реализацией: большинство находит ее случайно или по аналогичной наводке.
Подобной отложкой крайне удобно пользоваться, чтобы напомнить собеседнику о вопросе, который был задан в неудобное время, или задать его в удобное.
2. Хэштеги можно использовать для организации «Избранного»
В стандарте они транслируются через динамик громкой связи, поэтому становятся достоянием общественности. Тем не менее, этого достаточно просто избежать.
4. Меню дополнительных действий можно вызвать очень быстро
5. Любой диалог можно отметить в качестве непрочитанного
Как это сделать: зажмите любой диалог из общего перечня и выберите возможность «Пометить как новое».
6. Для разных чатов можно назначить автоматические папки
Как это сделать: перейдите в раздел «Настройки», разверните меню «Папки с чатами», нажмите на кнопку «Создать» возле необходимого варианта из пункта «Рекомендованные папки».
Да, разбивка диалогов на папки, которая появилась в Telegram не так давно, стала настоящим открытием для активных пользователей мессенджера.
Тем не менее, немногие из них обратили внимание, что приложение также дает возможность автоматически сортировать чаты. Для этого оно предлагает рекомендованные папки. К примеру, «Личные» для диалогов тет-а-тет, а также «Новые».
7. Есть возможность изменить настройки счетчика на значке
8. Для работы со звонками можно задать отдельный раздел
Как это сделать: перейдите в раздел «Настройки», разверните меню «Недавние звонки», переведите в активное положение переключатель «Вкладка "Звонки"».
Если активно используете Telegram для голосовых вызовов и видеосвязи, можете добавить в приложение отдельный раздел с последними звонками.
В Telegram можно выбрать, какие именно чаты будут указываться в данном меню, а какие необходимо скрыть из любых соображений.
10. Используемую мессенджером память можно быстро очистить
Как это сделать: перейдите в раздел «Настройки», разверните меню «Данные и память», определите пункт «Использование памяти», воспользуйтесь кнопкой «Очистить кэш Telegram».
До недавней чистки мой Telegram занимал больше 7 ГБ в памяти iPhone. Хорошо, что даже для такого объема у меня достаточно свободного места в хранилище. Если ваше подошло к концу, теперь вы знаете, как быстро избавиться от кеша.
11. Все данные из «Избранного» можно очень быстро очистить
Как это сделать: зажмите диалог «Избранное», определите вариант «Удалить» в быстром меню, выберите пункт «Очистить историю».
Если вы используете диалог «Избранное» только лишь в роли временного хранилища для данных, его придется регулярно чистить. Достаточно лишь попробовать удалить данный чат, и Telegram предложит в качестве альтернативы его очистку.
12. Вы можете самостоятельно создать новую тему оформления
Как это сделать: перейдите в раздел «Настройки», разверните меню «Оформление», нажмите на «+» в правом верхнем углу экрана, воспользуйтесь кнопкой «Создать новую тему», задайте имя и выберите необходимые цвета.
Про темы оформления Telegram знают многие. Тем не менее, далеко не все обратили внимание на заветную кнопку, которая даст возможность настроить цвета интерфейса вручную. Теперь и вы знаете про это.
13. Создать новые стикеры для Telegram — вообще не проблема
Как это сделать: перейдите в раздел «Настройки», разверните меню «Стикеры», нажмите на ссылку бота @stickers мелким шрифтом в нижней части интерфейса.
14. Свой номер мобильного телефона можно очень просто скрыть
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Номер телефона», выберите вариант, кто сможет видеть ваш номер.
Telegram использует ваш номер телефона для идентификации конкретного аккаунта. Если вы не хотите, чтобы он стал достоянием общественности, можете скрыть его от всех пользователей или определенной их части.
15. Важные переговоры можно вести через секретные диалоги
Как это сделать: нажмите на кнопку создания нового диалога в верхнем правом углу главного меню Telegram, выберите возможность «Создать секретный чат» и определите его участников.
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Код-пароль и Face ID».
К примеру, если защитить Telegram с помощью Face ID, вход в него не будет отнимать сильно больше времени. Тем не менее, в приложение не смогут попасть недоброжелатели.
17. Для надежной защиты аккаунта можно задать облачный пароль
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Облачный пароль».
«Облачный пароль» потребуется ввести, чтобы привязать к текущей учетной записи дополнительный гаджет. Это защитит ее от недоброжелателей.
18. В Telegram спрятано тайное меню для опытных пользователей
Как это сделать: быстро нажмите на значок раздела «Настройки» десять раз.
Именно в этом меню появляются тумблеры для включения экспериментальных возможностей до релиза. К примеру, здесь была и возможность включения видеозвонков, пока они не стали достоянием всего сообщества.
19. Вы можете использовать пару аккаунтов в одном приложении
Как это сделать: перейдите в раздел «Настройки» и воспользуйтесь возможностью «Добавить аккаунт».
Да, кстати, немногие знают, что одно приложение Telegram можно использовать сразу для нескольких аккаунтов. Это особенно важно, если ваша профессиональная деятельность завязана на общении с клиентами. Дополнительная учетка поможет отделить личные диалоги от рабочих.
20. Если Telegram больше не нужен, можно удалить свой аккаунт
Как это сделать: перейдите по данной ссылке, введите номер телефона, к которому привязан аккаунт Telegram, и следуйте инструкциям на экране.
В «Настройках» Telegram можно установить время, спустя которое учетная запись мессенджера со всеми данными будет удалена автоматически. Если это нужно сделать быстрее, теперь вы знаете, как это сделать.
(76 голосов, общий рейтинг: 4.74 из 5)
Николай Грицаенко
Кандидат наук в рваных джинсах. Пишу докторскую на Mac, не выпускаю из рук iPhone, рассказываю про технологии и жизнь.
Полный обзор сервиса Apple Fitness+. Тренироваться легко, мотивирует отлично
В Telegram появилась реклама. Первое объявление ведёт на канал Дурова
Как выглядят изнутри 7 зданий офиса Apple Park. Есть секретная лаборатория
10 блогеров в TikTok, на которых не стыдно подписаться
10 культовых сериалов 90-х, о которых вы могли даже не знать. Нужно срочно пересмотреть
20 неизвестных фишек WhatsApp. Например, cообщения могут исчезать
20 фишек Telegram, которыми многие не пользуются, а зря. Например, умные папки
20 неизвестных фишек Заметок в iOS. Меняем цвет текста, создаём таблицы
🙈 Комментарии 54
редкая статья на ресурсе по делу
Спасибо, теперь знаю, что неизвестных функций нет :)
@flint , слишком банально и все знают
@Николай Грицаенко , точно не все)
@flint , ну, быть может)
@flint , те кто не пользуется телегой наверное)
@Николай Грицаенко , искал. Не нашёл
@38kzb42k55 , это вряд ли сможет делать бот, это делается по api то есть нужно найти вебсервис и дать ему доступы, или написать свой скрипт на пхп/js/петон
api. telegram. org/botXXX:YYYYYYYYYYY/sendMessage
@T34 , есть такое дело
@T34 , правится запретом телеге доступа к контактам.
@dmtr.klmnk, спасибо, не знал
@Николай Грицаенко , по моему так же и в iMessage было
@walkman99 , вот этот вот очень интересно
А как же лучшее и самое быстрое создание GIF))
@collder , это как?
>>> 10. Используемую мессенджером память можно быстро очистить
Стоит дополнить этот пункт указанием на возможность очищать не аесь кэш Телеграма целиком, а только кэш отдельных чатов или каналов.
При этом можно даже выбрать какие типы данных удалить из кэша чата или канала.
В стандарте, как раз-таки, красуется и всегда красовалось число входящих, а не чатов и каналов. Что на iPhone, что на Android, что на Десктопе.
Нет, не знаем. Так как не указано, где конкретно в «Настройках» («Конфиденциальность»).
@* 9190 * , “В «Настройках» Telegram можно установить время, спустя которое учетная запись мессенджера со всеми данными будет удалена автоматически. Если это нужно сделать быстрее, теперь вы знаете, как это сделать”. — до этого ссылка для быстрого удаления вроде указана, и про него вообще речь идет. Поэтому воспринимают комментарий как придурку и дальше не читаю, спасибо
Читайте также: