Ананимность в телеграмме такая анонимность. Копия статьи Colonel Cassada

Аватар пользователя Призрак Коммунизма

Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности

Схема эксплоита. Слева направо:
1) скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку,
2) добавляется в группу протестующих,
3) Telegram сообщает, какие пользователи из контакт-листа уже есть в группе,
4) скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера

«Защищённый» мессенджер Telegram с шифрованием коммуникаций предположительно помогает сохранить анонимность пользователей — и поэтому широко используется участниками протестных акций в Гонконге. Но в последние дни среди них поднялась настоящая паника: по каналам распространяется сообщение, что у полиции есть способ определять телефонные номера пользователей Telegram.

Компания Telegram признала баг с утечкой конфиденциальных данных. Она также пояснила, что это не баг, а фича.

Схема предположительных действий полиции показана на скриншотах вверху:

Полиция генерирует контакт-лист с тысячами телефонных номеров по порядку.
Добавляется в группу протестующих.
Telegram сообщает, какие пользователи из контакт-листа уже есть в группе.

Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров.

Активисты говорят, что таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках Telegram никому не показывать свой телефонный номер.

Привязка к телефонному номеру — один из главных недостатков мессенджера, который пытается сохранить анонимность пользователей. У властей есть богатые инструменты для деанонимизации пользователей по их телефонным номерам, для отслеживания их перемещений, определения других телефонных номеров, которые всегда находятся рядом и так далее.

Основную информацию правоохранительные органы могут сразу запросить у телекоммуникационной компании.

После появления информации об эксплоите Telegram информацию проверили и подтвердили несколько специалистов по информационной безопасности.

«Конфиденциальность телефонных номеров [Telegram] обсуждалась с начала этого года, — говорит Чу Ка-Чонг (Chu Ka-cheong), директор Интернет-общества Гонконга и один из инженеров-программистов, которые независимо подтвердили эту ошибку. — Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы. Это стало открытием для всех нас».

Установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы

После раскрытия этого бага пользователи начали активно покидать группы протестующих в Telegram. Активисты беспокоятся, что это затруднит координацию будущих демонстраций и действий.

Чу сказал, что на данный момент нет обходного пути, чтобы избежать этой утечки данных. Протестующие советуют перейти на одноразовые SIM-карты, зарегистрированные анонимно или на чужое имя вместо свои основных телефонных номеров. Но очевидно, что основная масса пользователей не сможет этого сделать.

К сожалению, для многих пользователей уже слишком поздно.

«Мы подозревали, что некоторые спонсируемые правительством злоумышленники использовали эту ошибку и использовали её для вычисления гонконгских протестующих, в некоторых случаях создавая непосредственную опасность для жизни протестующих», — говорит Чу о так называемых «титушках», то есть бандитах, которые приехали в Гонконг из материкового Китая и выполняет неформальные задания спецслужб, в том числе разбираясь с активистами.

Чу Ка-Чонг говорит, что Telegram сейчас является основным каналом коммуникации, и отказаться от него очень сложно: «Переход на другое приложение, такое как Signal, не является для нас жизнеспособным вариантом, — сказал он. — Потому что способ общения протестующих сильно зависит от поддержки очень больших групп […], у которых Telegram имеет действительно хорошую поддержку», — сказал Чу.

«С другой стороны, группы Signal или Wire ограничены несколькими сотнями человек, а Signal в любом случае показывает всем ваш номер телефона. Некоторые из нас уже используют Signal и Wire в небольшой закрытой группе, но общественные обсуждения и объявления будут по-прежнему сильно полагаются на Telegram».

Ответ Telegram

Вчера издание ZDNet обратилось за комментариями к Telegram, и компания изучила проблему: «У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария», — сказал представитель Telegram [фактически подтверждая, что баг с утечкой конфиденциальных данных является фичей]. — Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют».

Однако специалисты говорят, что это ограничение можно обойти. Злоумышленник с богатыми ресурсами, вроде правительственной спецслужбы, может легко использовать несколько ботов, а не один — и в конечном итоге импортируют всю последовательность телефонных номеров, которую хочет охватить.

Суть проблемы в том, что сами пользователи не ожидали такого подвоха от мессенджера. Они ожидали, что настройка «Никто» запретит просмотр их телефонных номеров, независимо от того, были они в списке контактов или нет.

Но Telegram сказал, что эта конкретная настройка работает не так, и она никогда так не работала: «Нет никакой ошибки: так же, как WhatsApp или Facebook Messenger, мессенджер Telegram основан на телефонных контактах. Это означает, что вы должны иметь возможность видеть свои контакты, которые также используют приложение, — говорится в сообщении компании. — Настройки номера телефона контролируют видимость номера телефона для пользователей, у которых НЕТ вашего номера (в отличие от WhatsApp, который показывает ваш номер телефона всем в любой группе)».

Таким образом, Telegram подтверждает, что как только ваш номер телефона будет добавлен в любой список контактов, этот человек (злоумышленник) сможет ассоциировать его с «анонимным» ником пользователя, независимо от настроек.

Telegram предупреждает пользователей, что настройка «Никто» на самом деле действует не так, как они думают. И это не ошибка, всё работает как положено.

Получается, что разработчики Telegram (как и большинства остальных мессенджеров) умышленно пожертвовали анонимностью пользователей ради роста социального графа. Через адресные книги пользователям легче устанавливать контакты со своими знакомыми. Это помогает «вирусному» распространению мессенджера и росту аудитории.


https://habr.com/ru/news/t/464855/ - цинк
Майору Дурову присвоено внеочередное звание подполковника за большой вклад в укрепление отношений между органами безопасности России и Китайской Народной Республики.

 

 

Авторство: 
Копия чужих материалов
Комментарий автора: 

А если Вудди тоже того,.. Ой.  Извиняюсь, товарищ майор

Зы. ненавижу эти телефонные месенджеры как отвратительно когда ставишь вайбер, а  он рассылает всем твоим контактам "Дима снова в сети. Поприветствуй его" - как это уё...но.

А.какая-то из подобных зараз предлагала мне отослать всем контактам толи Смс толи сообщение с приглашением! Не ну не наглость? 

Один желает общатся в вайбере другой в ватсапе,.третий в телеграме. Каждая эта приблуда желает отожрать мегабайт по 100 мининмум места на карточке,.и еще им надо место под картинки-смайлико стикеры. Тфу. Удаляешь кеш и данные а оно сразу же себе то же самое назад накачивает - какая-то борьба с ветряными мельницами

Незря я не держу на телефоне всю эту ересь!.Видите не зря! Я.Ванга

Товарищи революционеры, не ведитесь на все эти ловушки. Газета Искра это проверенный вариант

 

Зы. Один есть в мире адекватный хороший месенджер это Скайп.

Комментарии

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Бойан.

Аватар пользователя Призрак Коммунизма

плохо я что-то искал :(

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Бывает.

Аватар пользователя alexsword
alexsword(13 лет 1 месяц)

Поиск по слову telegram сразу дает:

df524d1830b45bdf2b8ca3db3299c73f.png

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Вот и я о чём. АШ надёжнее.

Серверы же в России, насколько помню, Алекс?

Аватар пользователя багор
багор(9 лет 11 месяцев)

Скайп? Ну ну.

Аватар пользователя Призрак Коммунизма

Он проверен временем и за ним я пока ничего такого не замечал

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Спи дальше, Нео. :)

Аватар пользователя v.p.
v.p.(12 лет 2 месяца)

особо понравилось в статье: "спонсируемые правительством злоумышленники использовали эту ошибку и использовали её для вычисления гонконгских протестующих". вааще всё норм, все мозги вывихнули.

Аватар пользователя Призрак Коммунизма

ну я тоже не понял про суть эксплойта

Но то что все эти месенджеры залазят в контакты и сразу скачивают фотографии людей... это подозрительно. Сразу возникает вопрос чего они еще делают.

Так и хочется им сказать -вас не просили лазить по всем контактам, ты мне нужен для того-то с тем и работай.  

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Я тоже поржал.

Скайп, телеграм, инстаграм, вацапы, вайберы, 2-3-4-5G - все такие белые и пушистые, ну прямо ми-ми-ми. Четвёртого "Крепкого орешка" смотреть до просветления!!!

Аватар пользователя BlackHand
BlackHand(6 лет 10 месяцев)

yesyesyes "злоумышленники" - это ваащще сильно сказано! Как я понял, имеются ввиду сотрудники спецслужб Китая. . . laugh

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

а что сразу вуди?

телегу надо регистрировать например на украинскую симку. или прибалтийскую. если вам нужна "анонимность" хоть какая-то. с 404 не выдадут

 

"миленниалы узнали как работает мессенджер))) " https://aftershock.news/?q=comment/7341437#comment-7341437

 

Комментарий администрации:  
*** Неполживого чма кусок ***
Аватар пользователя Призрак Коммунизма

По поводу статьи. Некоторое время назад можно было и страницу в вк найти по номеру. Вроде это полечили 

Но эта их страсть к нововведениям... они могут снова открыть  эту фичу

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

https://aftershock.news/?q=node/783024 раз пошла такая пьянка

Комментарий администрации:  
*** Неполживого чма кусок ***