शोधकर्ता ने टेलीग्राम के इनाम पुरस्कार से इनकार किया, ऑटो-डिलीट बग का खुलासा किया

शोधकर्ता ने टेलीग्राम के इनाम पुरस्कार से इनकार किया, ऑटो-डिलीट बग का खुलासा किया

टेलीग्राम ने इस साल की शुरुआत में अपने ऐप में एक और इमेज सेल्फ-डिस्ट्रक्शन बग पैच किया था। यह दोष एक से अलग मुद्दा था 2019 में रिपोर्ट किया गया. लेकिन जिस शोधकर्ता ने बग की सूचना दी, वह टेलीग्राम के महीने भर के टर्नअराउंड समय से खुश नहीं है – और उसकी चुप्पी के बदले में $ 1,159 (€ 1,000) का इनाम दिया गया है।

स्व-विनाशकारी छवियां डिवाइस पर बनी रहीं

अन्य मैसेजिंग ऐप की तरह, टेलीग्राम प्रेषकों को संचार को “स्व-विनाश” पर सेट करने की अनुमति देता है, जैसे कि संदेश और कोई भी मीडिया अटैचमेंट एक निर्धारित अवधि के बाद डिवाइस से स्वचालित रूप से हटा दिया जाता है। इस तरह की सुविधा प्रेषकों और प्राप्तकर्ताओं दोनों को विवेकपूर्ण तरीके से संवाद करने के लिए विस्तारित गोपनीयता प्रदान करती है।

फरवरी 2021 में, टेलीग्राम शुरू की अपनी 2.6 रिलीज़ में ऐसी स्वतः-विलोपन सुविधाओं का एक सेट:

  • संदेशों को भेजने के 24 घंटे या 7 दिनों के बाद सभी के लिए ऑटो-डिलीट पर सेट करें
  • अपनी किसी भी चैट, साथ ही उन समूहों और चैनलों में जहां आप एक व्यवस्थापक हैं, ऑटो-डिलीट सेटिंग नियंत्रित करें
  • ऑटो-डिलीट को सक्षम करने के लिए, चैट सूची में चैट पर राइट-क्लिक करें> इतिहास साफ़ करें> ऑटो-डिलीट सक्षम करें

लेकिन कुछ ही दिनों में, अनाम शोधकर्ता दिमित्री ने एक संबंधित दोष का पता लगाया कि कैसे टेलीग्राम एंड्रॉइड ऐप ने आत्म-विनाश को लागू किया था।

क्योंकि आत्म-विनाश के प्रत्येक उदाहरण को चलने में कम से कम 24 घंटे लगते हैं, दिमित्री के परीक्षण कुछ दिनों तक चले।

“केवल कुछ दिनों के बाद … परिश्रम दिखाने के बाद, मैंने वह हासिल किया जो मैं ढूंढ रहा था: निजी और निजी समूह चैट में प्रतिभागियों से स्वतः हटाए जाने वाले संदेश केवल दृष्टि से ‘हटाए गए’ थे [in the messaging window], लेकिन वास्तव में, चित्र संदेश डिवाइस पर बने रहे [in] कैश, “शोधकर्ता ने मोटे तौर पर अनुवादित में लिखा है ब्लॉग भेजा पिछले सप्ताह प्रकाशित।

CVE-2021-41861 के रूप में ट्रैक किया गया, दोष सरल है। टेलीग्राम एंड्रॉइड ऐप वर्जन 7.5.0 से 7.8.0 में, सेल्फ-डिस्ट्रक्ट इमेज डिवाइस में बनी रहती है /Storage/Emulated/0/Telegram/Telegram Image स्व-विनाश सुविधा के लगभग दो से चार उपयोगों के बाद निर्देशिका। लेकिन ऐसा प्रतीत होता है कि UI उपयोगकर्ता को इंगित करता है कि मीडिया ठीक से नष्ट हो गया था।

टेलीग्राम इनाम के बदले “गोपनीयता” का अनुरोध करता है

लेकिन इस तरह की एक साधारण बग के लिए, टेलीग्राम का ध्यान आकर्षित करना आसान नहीं था, दिमित्री ने समझाया। शोधकर्ता ने मार्च की शुरुआत में टेलीग्राम से संपर्क किया। और महीनों तक शोधकर्ता और टेलीग्राम के बीच ईमेल और टेक्स्ट पत्राचार की एक श्रृंखला के बाद, कंपनी सितंबर में दिमित्री तक पहुंच गई, अंत में बग के अस्तित्व की पुष्टि की और बीटा परीक्षण के दौरान शोधकर्ता के साथ सहयोग किया। उनके प्रयासों के लिए, दिमित्री को $1,159 (€1,000) बग बाउंटी इनाम की पेशकश की गई थी।

हालांकि बग बाउंटी प्रोग्राम वाली कई कंपनियां एथिकल हैकर्स को मौद्रिक पुरस्कार प्रदान करती हैं जो कमजोरियों की पहचान करते हैं और जिम्मेदारी से रिपोर्ट करते हैं, सुरक्षा खामियों के प्रकटीकरण की अनुमति आमतौर पर 60 या 90 दिनों की सहमति अवधि के बाद दी जाती है।

“टेलीग्राम प्रतिनिधि द्वारा ईमेल द्वारा भेजे गए अनुबंध का अध्ययन करने के बाद, मैंने इस तथ्य पर ध्यान आकर्षित किया कि टेलीग्राम की आवश्यकता है [me] दिमित्री ने लिखा, आठ पेज लंबे समझौता कंपनी ने शोधकर्ता प्रदान किया।

टेलीग्राम का बग बाउंटी इनाम समझौता।

तब से, शोधकर्ता का दावा है कि उसे टेलीग्राम ने भूत बना दिया है, जिसने कोई प्रतिक्रिया नहीं दी है और कोई इनाम नहीं दिया है। “मुझे टेलीग्राम से €1,000 या किसी अन्य में वादा किया गया इनाम नहीं मिला है,” उन्होंने लिखा।

दिलचस्प बात यह है कि 2019 में, सेल्फ-डिस्ट्रक्ट फीचर से संबंधित एक अलग बग भी था की सूचना दी एक अन्य शोधकर्ता द्वारा, जो एक उच्च बग बाउंटी के साथ चला गया – $ 1,159 के बजाय $ 2,897 (€ 2,500) का इनाम।

टेलीग्राम की भेद्यता रिपोर्टिंग कार्यक्रमHackerOne द्वारा प्रबंधित, कंपनी के जिम्मेदार प्रकटीकरण प्रोटोकॉल के बारे में भी स्पष्ट नहीं है। दस्तावेज़ आगे एक सामान्य प्रश्न से लिंक करता है कि उल्लेख है टेलीग्राम द्वारा आयोजित “बाउंटीज़” और “क्रैकिंग कॉन्टेस्ट”, लेकिन सुरक्षा मुद्दों का खुलासा किया जा सकता है या नहीं, इसके बारे में कुछ भी नहीं है।

22 सितंबर को जारी टेलीग्राम एंड्रॉइड ऐप का नवीनतम संस्करण, जैसा कि Ars द्वारा देखा गया है, v8.1.2 पर है गूगल प्ले स्टोर, हालांकि रिपोर्ट किए गए बग को पहले के संस्करण में पैच कर दिया गया था। भले ही, टेलीग्राम उपयोगकर्ताओं को वर्तमान और भविष्य के सुरक्षा अपडेट प्राप्त करने के लिए अपने ऐप को नवीनतम संस्करण में अपडेट करना चाहिए।

Ars पहले से टिप्पणी के लिए टेलीग्राम तक पहुंच गया है, और हम कंपनी की प्रतिक्रिया की प्रतीक्षा कर रहे हैं।

(Visited 4 times, 1 visits today)

About The Author

You might be interested in

प्यू-अमेरिका-के-42-उपयोगकर्ता-मुख्य-रूप-से-मनोरंजन-के.jpg
0

LEAVE YOUR COMMENT