Белый хакер раскрыл секрет «самоуничтожающихся» фото в Telegram, но отказался от награды
В мессенджере Telegram месяцами существовал баг, благодаря которому «самоуничтожающиеся» изображения продолжали храниться даже после их исчезновения из чата. Об этом рассказал интернет-сообществу «белый хакер» исследователь, который в своё время обнаружил проблему.
В начале этого года Telegram исправил еще одну ошибку самоуничтожения изображений в приложении. Этот недостаток отличался от того, о котором сообщалось в 2019 году. Но исследователь, сообщивший об ошибке, недоволен многомесячным сроком обработки Telegram и предложенным вознаграждением в размере 1000 евро (1159 долларов США) в обмен на его молчание.
Как и другие приложения для обмена сообщениями, Telegram позволяет отправителям устанавливать для связи режим «самоуничтожения» данных, так что сообщения и любые мультимедийные вложения автоматически удаляются с устройства по истечении заданного периода времени. Такая функция предлагает расширенную конфиденциальность как отправителям, так и получателям.
В феврале 2021 года Telegram представил набор таких функций автоматического удаления в версии 2.6. Но через несколько дней исследователь Дмитрий (без фамилии) обнаружил серьезную ошибку в том, как приложение Telegram для Android реализовало этот режим.
Поскольку для выполнения каждого случая самоуничтожения требуется не менее 24 часов, тесты Дмитрия длились несколько дней.
«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток…, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image», — написал исследователь в сообщении блога, опубликованном на прошлой неделе.
«Было непросто привлечь внимание Telegram», — добавил Дмитрий. Исследователь связался с Telegram в начале марта. И после серии электронных писем и текстовой переписки между ним и представителями мессенджера, продолжавшейся несколько месяцев, в сентябре компания связалась с Дмитрием, наконец, подтвердив наличие ошибки и сотрудничая с исследователем во время бета-тестирования. За его усилия Дмитрию предложили вознаграждение в размере 1000 евро ($1159).
Хотя многие компании предлагают «белым хакерам» награды за обнаруженные уязвимости, обычно разрешается рассказать о них через 60-90 дней, период оговаривается индивидуально.
«Изучив контракт, отправленный по электронной почте представителем Telegram, я обратил внимание на тот факт, что Telegram требует, чтобы я не разглашал какие-либо детали сотрудничества / технические детали по умолчанию без его письменного согласия», — написал Дмитрий, имея в виду восьмистраничное соглашение, предоставленное компанией исследователю.
По данным Дмитрия, такие условия его не устроили. После этого компания начала игнорировать его, также он не получил никакой награды.
Известно, что в 2019 году за обнаружение похожей уязвимости исследователь получил от Telegram 2000 евро, но требуют ли от добровольных помощников подписывать какие-то документы о неразглашении — достоверно неизвестно.
Сейчас в Google Play имеется версия Telegram v8.1.2, а баг, судя по всему, устранён в более ранних релизах мессенджера.
В мессенджере Telegram месяцами существовал баг, благодаря которому «самоуничтожающиеся» изображения продолжали храниться даже после их исчезновения из чата. Об этом рассказал интернет-сообществу «белый хакер» исследователь, который в своё время обнаружил проблему.
В начале этого года Telegram исправил еще одну ошибку самоуничтожения изображений в приложении. Этот недостаток отличался от того, о котором сообщалось в 2019 году. Но исследователь, сообщивший об ошибке, недоволен многомесячным сроком обработки Telegram и предложенным вознаграждением в размере 1000 евро (1159 долларов США) в обмен на его молчание.
Как и другие приложения для обмена сообщениями, Telegram позволяет отправителям устанавливать для связи режим «самоуничтожения» данных, так что сообщения и любые мультимедийные вложения автоматически удаляются с устройства по истечении заданного периода времени. Такая функция предлагает расширенную конфиденциальность как отправителям, так и получателям.
В феврале 2021 года Telegram представил набор таких функций автоматического удаления в версии 2.6. Но через несколько дней исследователь Дмитрий (без фамилии) обнаружил серьезную ошибку в том, как приложение Telegram для Android реализовало этот режим.
Поскольку для выполнения каждого случая самоуничтожения требуется не менее 24 часов, тесты Дмитрия длились несколько дней.
«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток…, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image», — написал исследователь в сообщении блога, опубликованном на прошлой неделе.
«Было непросто привлечь внимание Telegram», — добавил Дмитрий. Исследователь связался с Telegram в начале марта. И после серии электронных писем и текстовой переписки между ним и представителями мессенджера, продолжавшейся несколько месяцев, в сентябре компания связалась с Дмитрием, наконец, подтвердив наличие ошибки и сотрудничая с исследователем во время бета-тестирования. За его усилия Дмитрию предложили вознаграждение в размере 1000 евро ($1159).
Хотя многие компании предлагают «белым хакерам» награды за обнаруженные уязвимости, обычно разрешается рассказать о них через 60-90 дней, период оговаривается индивидуально.
«Изучив контракт, отправленный по электронной почте представителем Telegram, я обратил внимание на тот факт, что Telegram требует, чтобы я не разглашал какие-либо детали сотрудничества / технические детали по умолчанию без его письменного согласия», — написал Дмитрий, имея в виду восьмистраничное соглашение, предоставленное компанией исследователю.
По данным Дмитрия, такие условия его не устроили. После этого компания начала игнорировать его, также он не получил никакой награды.
Известно, что в 2019 году за обнаружение похожей уязвимости исследователь получил от Telegram 2000 евро, но требуют ли от добровольных помощников подписывать какие-то документы о неразглашении — достоверно неизвестно.
Сейчас в Google Play имеется версия Telegram v8.1.2, а баг, судя по всему, устранён в более ранних релизах мессенджера.
Где тестировать скорость интернета?
Интересно проверить, с какими скоростями работает ваш провайдер. Заявили 100 мегабит в секунду, а фактически, кто знает как. Существуют сервисы для самостоятельной проверки.
Мегабиты и мегабайты в секунду понятия разные. Скорость загрузки файла в мегабайтах в секунду легко посчитать. Нужно разделить скорость в мегабитах на 8.
Если мой провайдер дает мне скорость 100 мегабит в секунду, значит максимальная скорость загрузки 100/8 = 12.5 мегабайт в секунду. Но об этих аспектах поговорим в следующих статьях. Для начала узнаем, где вообще можно посмотреть скорость интернета.
1. Speedtest
Самый популярный измеритель скорости, находится в топах по запросу "скорость интернета", считает быстро, выводит множество дополнительной информации.
2. Fast
Проще не придумаешь, запустил и он показывает актуальную в данную секунду скорость интернета.
3. 2ip
Отличное решение, быстро измеряет, много дополнительной информации.
Интересно проверить, с какими скоростями работает ваш провайдер. Заявили 100 мегабит в секунду, а фактически, кто знает как. Существуют сервисы для самостоятельной проверки.
Мегабиты и мегабайты в секунду понятия разные. Скорость загрузки файла в мегабайтах в секунду легко посчитать. Нужно разделить скорость в мегабитах на 8.
Если мой провайдер дает мне скорость 100 мегабит в секунду, значит максимальная скорость загрузки 100/8 = 12.5 мегабайт в секунду. Но об этих аспектах поговорим в следующих статьях. Для начала узнаем, где вообще можно посмотреть скорость интернета.
1. Speedtest
Самый популярный измеритель скорости, находится в топах по запросу "скорость интернета", считает быстро, выводит множество дополнительной информации.
2. Fast
Проще не придумаешь, запустил и он показывает актуальную в данную секунду скорость интернета.
3. 2ip
Отличное решение, быстро измеряет, много дополнительной информации.
Авторисование
Нейронные сети проникают повсюду. Все больше интересных решений появляются в повседневном использовании.
Shazam, FaceApp и многие другие. В iOS 15 в Spotlight также активно применяются. И эта тенденция будет только расти.
Апскейл видео, удаления фона с изображения, улучшение изображения все это и многое другое решается с помощью машинного обучения.
Autodraw - интересный сервис по авторисованию. Вы что-то рисуете, а нейросеть пытается угадать, что вы нарисовали и корректирует ваш рисунок.
Очень занимательный сайт на 10-15 минут времени. Для удобства использования весь интерфейс приложения выглядит как холст с различными фигурами. Рисуйте, а нейросеть поможет довести ваш рисунок до приемлемого видео.
Сайт
Нейронные сети проникают повсюду. Все больше интересных решений появляются в повседневном использовании.
Shazam, FaceApp и многие другие. В iOS 15 в Spotlight также активно применяются. И эта тенденция будет только расти.
Апскейл видео, удаления фона с изображения, улучшение изображения все это и многое другое решается с помощью машинного обучения.
Autodraw - интересный сервис по авторисованию. Вы что-то рисуете, а нейросеть пытается угадать, что вы нарисовали и корректирует ваш рисунок.
Очень занимательный сайт на 10-15 минут времени. Для удобства использования весь интерфейс приложения выглядит как холст с различными фигурами. Рисуйте, а нейросеть поможет довести ваш рисунок до приемлемого видео.
Сайт
Как сделать QR-код?
С момента своего появления QR-коды стали очень удобным средством передачи информации. Кодирование и распознавание ложится в основу многих систем взаимодействия. Очевидно, что идея была позаимствована у штрих-кодов, однако, с ростом технического прогресса ему на смену пришел более серьезный собрат.
QR-код может хранить в себе солидный объем информации, алфавитных символов может быть до 4,296 знаков.
Сделать свой код достаточно просто. Существует множество сервисов, позволяющих закодировать необходимую информацию.
Воспользуйтесь QR-code-generator
С момента своего появления QR-коды стали очень удобным средством передачи информации. Кодирование и распознавание ложится в основу многих систем взаимодействия. Очевидно, что идея была позаимствована у штрих-кодов, однако, с ростом технического прогресса ему на смену пришел более серьезный собрат.
QR-код может хранить в себе солидный объем информации, алфавитных символов может быть до 4,296 знаков.
Сделать свой код достаточно просто. Существует множество сервисов, позволяющих закодировать необходимую информацию.
Воспользуйтесь QR-code-generator
Российский суд запретил в России продажу больше 60 смартфонов Samsung из-за нарушения патента в технологии Samsung Pay.
This media is not supported in your browser
VIEW IN TELEGRAM
Избавляемся от звонков мошенников и рекламных рассылок по СМС
В приложении Яндекс с Алисой есть встроенный определитель номеров. Он показывает, кто звонит, даже если номера нет в контактах. А также по желанию блокирует подозрительные звонки: от мошенников и любителей прорекламировать «супервыгодное» предложение.
Недавно на iOS появилась еще и функция фильтрации сообщений: Алиса поможет рассортировать сообщения по папкам, а спам будет приходить без звука и не побеспокоит.
Чтобы включить определитель номера или фильтрацию сообщений нужно зайти в приложение Яндекса (или сначала установить его, если еще не сделали этого). Нажать на значок Алисы и сказать: «Алиса, включи определитель номера». Или, если хочется все сделать самостоятельно, зайти в «Сервисы», выбрать среди инструментов «Определитель номера», включить его и настроить все необходимые разрешения. А чтобы включить фильтрацию СМС нужно найти соответствующий раздел в настройках определителя.
В приложении Яндекс с Алисой есть встроенный определитель номеров. Он показывает, кто звонит, даже если номера нет в контактах. А также по желанию блокирует подозрительные звонки: от мошенников и любителей прорекламировать «супервыгодное» предложение.
Недавно на iOS появилась еще и функция фильтрации сообщений: Алиса поможет рассортировать сообщения по папкам, а спам будет приходить без звука и не побеспокоит.
Чтобы включить определитель номера или фильтрацию сообщений нужно зайти в приложение Яндекса (или сначала установить его, если еще не сделали этого). Нажать на значок Алисы и сказать: «Алиса, включи определитель номера». Или, если хочется все сделать самостоятельно, зайти в «Сервисы», выбрать среди инструментов «Определитель номера», включить его и настроить все необходимые разрешения. А чтобы включить фильтрацию СМС нужно найти соответствующий раздел в настройках определителя.
Власти России обязали все мессенджеры регистрировать пользователей по паспорту.
Начиная с 1 марта 2022 года, мессенджеры будут запрашивать номер телефона, а затем направлять запрос оператору. Тот должен будет в течение 20 минут предоставить информацию об абоненте из базы данных, включая паспортные данные. Если они не совпадут с владельцем аккаунта, в регистрации откажут.
В случае успешной проверки пользователю присвоят уникальный идентификационный номер. Его нужно обновлять при смене оператора сотовой связи. При отказе мессенджер также отключит профиль юзера.
Начиная с 1 марта 2022 года, мессенджеры будут запрашивать номер телефона, а затем направлять запрос оператору. Тот должен будет в течение 20 минут предоставить информацию об абоненте из базы данных, включая паспортные данные. Если они не совпадут с владельцем аккаунта, в регистрации откажут.
В случае успешной проверки пользователю присвоят уникальный идентификационный номер. Его нужно обновлять при смене оператора сотовой связи. При отказе мессенджер также отключит профиль юзера.
3,8 млрд записей из Clubhouse выставлены на продажу в даркнете.
Информация об именах, телефонных номерах, адресах и других данных пользователей стоит порядка 100 000$.
И это не первый слив базы из Clubhouse. В апреле уже была опубликована база на 1.3 млн аккаунтов сервиса — в частности, их имена и фамилии, ссылки на фотографии, а также информацию об аккаунтах пользователей в других социальных сетях.
Как защитить свой профиль? Если вы подозреваете, что данные вашей учетной записи Clubhouse могли попадать к злоумышленникам, советую:
1️⃣ Остерегаться подозрительных сообщений Clubhouse и запросов на связь от посторонних людей.
2️⃣ Изменить пароль учетной записи Clubhouse.
3️⃣ Использовать менеджер паролей для создания надежных паролей;
4️⃣ Включить двухфакторную аутентификацию для всех аккаунтов в интернете.
Информация об именах, телефонных номерах, адресах и других данных пользователей стоит порядка 100 000$.
И это не первый слив базы из Clubhouse. В апреле уже была опубликована база на 1.3 млн аккаунтов сервиса — в частности, их имена и фамилии, ссылки на фотографии, а также информацию об аккаунтах пользователей в других социальных сетях.
Как защитить свой профиль? Если вы подозреваете, что данные вашей учетной записи Clubhouse могли попадать к злоумышленникам, советую:
1️⃣ Остерегаться подозрительных сообщений Clubhouse и запросов на связь от посторонних людей.
2️⃣ Изменить пароль учетной записи Clubhouse.
3️⃣ Использовать менеджер паролей для создания надежных паролей;
4️⃣ Включить двухфакторную аутентификацию для всех аккаунтов в интернете.
Крупнейшая в мире сеть супермаркетов тайно собирала биометрию покупателей.
7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия. С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
В опросе приняли участие порядка 1,6 млн человек.
7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия. С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
В опросе приняли участие порядка 1,6 млн человек.
❗️❗❗
Миллионы смартфонов Android заражены трояном, крадущим по 42 доллара в месяц.
Очередной троян появился на рынке устройств с Android и уже успел заразить миллионы смартфонов. Называется он GriftHorse, а жертвами вредоносного ПО стали более 10 млн пользователей более чем из 70 стран, в числе которых и Россия.
Выше — список приложений, через которые вирус ворует деньги. Если одно из вас есть у вас, советую удалить его.
Миллионы смартфонов Android заражены трояном, крадущим по 42 доллара в месяц.
Очередной троян появился на рынке устройств с Android и уже успел заразить миллионы смартфонов. Называется он GriftHorse, а жертвами вредоносного ПО стали более 10 млн пользователей более чем из 70 стран, в числе которых и Россия.
Выше — список приложений, через которые вирус ворует деньги. Если одно из вас есть у вас, советую удалить его.
Фотографии лиц москвичей без их разрешения отправят на обучение нейросетей.
Сейчас все данные находятся у «Госуслуг», но власти решили отправить их частным компаниям, чтобы обучить нейросети лучше распознавать лицо человека. Потом на основании этой технологии горожан будут штрафовать за несоблюдение карантинных мер.
На этот проект выделено 236 миллионов рублей.
Сейчас все данные находятся у «Госуслуг», но власти решили отправить их частным компаниям, чтобы обучить нейросети лучше распознавать лицо человека. Потом на основании этой технологии горожан будут штрафовать за несоблюдение карантинных мер.
На этот проект выделено 236 миллионов рублей.
Самый дорогой MacBook Pro обойдётся в 600 тысяч рублей.
MacBook Pro на 16 дюймов предлагаются такие опции: 10-ядерный Apple M1 Max с 24-ядерной графикой (плюс 20 тысяч рублей), 10-ядерный Apple M1 Max с 32-ядерной графикой (плюс 40 тысяч рублей), 32 или 64 ГБ ОЗУ (40 или 80 тысяч рублей дополнительно), SSD на 1-8 ГБ (от 20 до 240 тысяч рублей дополнительно).
Таким образом, максимальная комплектация будет стоить 594 990 рублей.
MacBook Pro на 16 дюймов предлагаются такие опции: 10-ядерный Apple M1 Max с 24-ядерной графикой (плюс 20 тысяч рублей), 10-ядерный Apple M1 Max с 32-ядерной графикой (плюс 40 тысяч рублей), 32 или 64 ГБ ОЗУ (40 или 80 тысяч рублей дополнительно), SSD на 1-8 ГБ (от 20 до 240 тысяч рублей дополнительно).
Таким образом, максимальная комплектация будет стоить 594 990 рублей.