Telegram 修补了另一个图片自毁漏洞

今年早些时候，Telegram 修补了其应用程序中的另一个图片自毁漏洞。这个漏洞与2019年报告的漏洞不同，但报告该漏洞的研究人员对 Telegram 长达数月的修复时间以及提供的1000欧元（1159美元）赏金表示不满，因为赏金要求他保持沉默。

自毁图片仍留在设备上

与其他消息应用一样，Telegram 允许发送者设置消息“自毁”，即在设定的时间后自动删除消息和任何媒体附件。这种功能为发送者和接收者提供了额外的隐私保护。

2021年2月，Telegram 在其2.6版本中引入了一组自动删除功能，包括设置消息在发送后24小时或7天自动删除，以及在任何聊天、群组或频道中控制自动删除设置。

然而，研究人员 Dmitrii 在几天内发现了一个问题：在 Telegram Android 应用的7.5.0到7.8.0版本中，自毁的图片实际上仍然保留在设备的 /Storage/Emulated/0/Telegram/Telegram Image 目录中，尽管用户界面显示媒体已被正确销毁。

Telegram 要求保密以换取赏金

Dmitrii 在3月初联系了 Telegram，经过数月的邮件和短信交流，Telegram 在9月确认了漏洞的存在，并与研究人员合作进行测试。作为回报，Dmitrii 被提供了1000欧元的漏洞赏金。

然而，Dmitrii 发现 Telegram 要求他默认不披露任何合作或技术细节，并且在没有书面批准的情况下不得公开。此后，Telegram 没有回应也没有支付赏金。

与其他漏洞赏金的比较

2019年，另一位研究人员报告了与自毁功能相关的另一个漏洞，并获得了2500欧元的赏金，远高于此次的1000欧元。

Telegram 的漏洞报告程序

Telegram 的漏洞报告程序由 HackerOne 管理，但关于公司的负责任披露协议并不明确。文档链接到一个 FAQ，提到 Telegram 组织的“赏金”和“破解竞赛”，但没有说明是否可以或何时披露安全问题。

最新版本和更新建议

截至2021年9月22日，Telegram Android 应用的最新版本是 v8.1.2，尽管报告的漏洞可能已在更早的版本中修复。无论如何，Telegram 用户应更新到最新版本以获取当前和未来的安全更新。

总结

Telegram 修补了一个图片自毁漏洞，但研究人员对修复时间和赏金表示不满。自毁图片实际上仍留在设备上，Telegram 要求研究人员保密以换取赏金，但最终未支付赏金。与其他漏洞赏金相比，此次赏金较低。用户应更新到最新版本以确保安全。