Репост из: Информация опасносте
«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image.»
там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!
https://habr.com/en/post/580582/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861
там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!
https://habr.com/en/post/580582/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861