?

Log in

No account? Create an account
Предыдущий пост Распространить тоталитарную пропаганду Написать анонимный донос Следующий пост
Для многих протестующих уже слишком поздно
Командор
colonelcassad

Схема эксплоита. Слева направо:
1) скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку,
2) добавляется в группу протестующих,
3) Telegram сообщает, какие пользователи из контакт-листа уже есть в группе,
4) скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера


Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности

«Защищённый» мессенджер Telegram с шифрованием коммуникаций предположительно помогает сохранить анонимность пользователей — и поэтому широко используется участниками протестных акций в Гонконге. Но в последние дни среди них поднялась настоящая паника: по каналам распространяется сообщение, что у полиции есть способ определять телефонные номера пользователей Telegram.

Компания Telegram признала баг с утечкой конфиденциальных данных. Она также пояснила, что это не баг, а фича.

Схема предположительных действий полиции показана на скриншотах вверху:

Полиция генерирует контакт-лист с тысячами телефонных номеров по порядку.
Добавляется в группу протестующих.
Telegram сообщает, какие пользователи из контакт-листа уже есть в группе.

Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров.

Активисты говорят, что таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках Telegram никому не показывать свой телефонный номер.

Привязка к телефонному номеру — один из главных недостатков мессенджера, который пытается сохранить анонимность пользователей. У властей есть богатые инструменты для деанонимизации пользователей по их телефонным номерам, для отслеживания их перемещений, определения других телефонных номеров, которые всегда находятся рядом и так далее.

Основную информацию правоохранительные органы могут сразу запросить у телекоммуникационной компании.

После появления информации об эксплоите Telegram информацию проверили и подтвердили несколько специалистов по информационной безопасности.

«Конфиденциальность телефонных номеров [Telegram] обсуждалась с начала этого года, — говорит Чу Ка-Чонг (Chu Ka-cheong), директор Интернет-общества Гонконга и один из инженеров-программистов, которые независимо подтвердили эту ошибку. — Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы. Это стало открытием для всех нас».


Установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы

После раскрытия этого бага пользователи начали активно покидать группы протестующих в Telegram. Активисты беспокоятся, что это затруднит координацию будущих демонстраций и действий.

Чу сказал, что на данный момент нет обходного пути, чтобы избежать этой утечки данных. Протестующие советуют перейти на одноразовые SIM-карты, зарегистрированные анонимно или на чужое имя вместо свои основных телефонных номеров. Но очевидно, что основная масса пользователей не сможет этого сделать.

К сожалению, для многих пользователей уже слишком поздно.

«Мы подозревали, что некоторые спонсируемые правительством злоумышленники использовали эту ошибку и использовали её для вычисления гонконгских протестующих, в некоторых случаях создавая непосредственную опасность для жизни протестующих», — говорит Чу о так называемых «титушках», то есть бандитах, которые приехали в Гонконг из материкового Китая и выполняет неформальные задания спецслужб, в том числе разбираясь с активистами.

Чу Ка-Чонг говорит, что Telegram сейчас является основным каналом коммуникации, и отказаться от него очень сложно: «Переход на другое приложение, такое как Signal, не является для нас жизнеспособным вариантом, — сказал он. — Потому что способ общения протестующих сильно зависит от поддержки очень больших групп […], у которых Telegram имеет действительно хорошую поддержку», — сказал Чу.

«С другой стороны, группы Signal или Wire ограничены несколькими сотнями человек, а Signal в любом случае показывает всем ваш номер телефона. Некоторые из нас уже используют Signal и Wire в небольшой закрытой группе, но общественные обсуждения и объявления будут по-прежнему сильно полагаются на Telegram».

Ответ Telegram

Вчера издание ZDNet обратилось за комментариями к Telegram, и компания изучила проблему: «У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария», — сказал представитель Telegram [фактически подтверждая, что баг с утечкой конфиденциальных данных является фичей]. — Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют».

Однако специалисты говорят, что это ограничение можно обойти. Злоумышленник с богатыми ресурсами, вроде правительственной спецслужбы, может легко использовать несколько ботов, а не один — и в конечном итоге импортируют всю последовательность телефонных номеров, которую хочет охватить.

Суть проблемы в том, что сами пользователи не ожидали такого подвоха от мессенджера. Они ожидали, что настройка «Никто» запретит просмотр их телефонных номеров, независимо от того, были они в списке контактов или нет.

Но Telegram сказал, что эта конкретная настройка работает не так, и она никогда так не работала: «Нет никакой ошибки: так же, как WhatsApp или Facebook Messenger, мессенджер Telegram основан на телефонных контактах. Это означает, что вы должны иметь возможность видеть свои контакты, которые также используют приложение, — говорится в сообщении компании. — Настройки номера телефона контролируют видимость номера телефона для пользователей, у которых НЕТ вашего номера (в отличие от WhatsApp, который показывает ваш номер телефона всем в любой группе)».

Таким образом, Telegram подтверждает, что как только ваш номер телефона будет добавлен в любой список контактов, этот человек (злоумышленник) сможет ассоциировать его с «анонимным» ником пользователя, независимо от настроек.

Telegram предупреждает пользователей, что настройка «Никто» на самом деле действует не так, как они думают. И это не ошибка, всё работает как положено.

Получается, что разработчики Telegram (как и большинства остальных мессенджеров) умышленно пожертвовали анонимностью пользователей ради роста социального графа. Через адресные книги пользователям легче устанавливать контакты со своими знакомыми. Это помогает «вирусному» распространению мессенджера и росту аудитории.

https://habr.com/ru/news/t/464855/ - цинк

Майору Дурову присвоено внеочередное звание подполковника за большой вклад в укрепление отношений между органами безопасности России и Китайской Народной Республики.

Подписаться на Telegram канал colonelcassad

Последние записи в журнале


promo colonelcassad июнь 11, 17:10 173
Buy for 750 tokens
На днях пересекся в Севастополя с Максимом Григорьевым, которого хорошо знаю еще по 2014-2015 году, когда он подготовил два отличных отчета, где были задокументированы военные преступления, пытки и факты жестокого обращения со стороны ВСУ, СБУ и МВД Украины за 2014-2015 года…

Здравствуйте!
Система категоризации Живого Журнала посчитала, что вашу запись можно отнести к категории: Общество.
Если вы считаете, что система ошиблась — напишите об этом в ответе на этот комментарий. Ваша обратная связь поможет сделать систему точнее.
Фрэнк,
команда ЖЖ.

Это же очень старая истина "на каждую хитрую жопу найдется х*й винтом" )))

Ни о какой анонимности нельзя говорить в принципе, если какое-либо приложение требует привязку к номеру телефона!
Ну вот что за тупые люди такие?

Они не рефлексируют, а многие - в плоскую землю верят. Чего ж ты хотел?

Вот. Тянули на Пашку - а он кросавчег-патриот: нипилил "фичей" для ФСБ, а ключики ржавые посылал напоказ, чтобы рукопожопые ничего не заподозрили. А в ответ Роскомнадзор "блокировал" так, что половина смеялась, половина плакала...

Edited at 2019-08-25 07:29 (UTC)

Вон на радио "Вести ФМ" слышал вчера рекламу "Все в телеграм, мы уже там" )))

Не везет протестунам в последнее время. Что в России, что в КНР.

Они всегда были расходным материалом. Весь цимес в том, чего хотят и могут ли добиться те, кто этот материал пользует. Сейчас от целей облагодетельствовать человечества перешли к целям личного облагодетельствования, добиваться стало полегче. Строить заводы, прокладывать рельсы, поднимать целину не надо, а мильярд-другой в офшор -- легко.

Пора леворюционерам опять на прокламации и Искру переходить.

Это фича! ахахаха

И вот так вот всегда. И ведь находятся ещё те блаженные, которые веруют в анонимность в интонетике! :-)

У борцунят нет мозга, видать вырезают при инициации.

Edited at 2019-08-25 07:39 (UTC)

Ну а как насчёт ТОР... Немного не то, но в целом, если его ещё через прокси, будет не так просто источник вычислить. Ресурсов много уйдёт.
А так да, анонимность ни к чёрту.
Вот в 2000ые весело было. Подобрал дефолтовый пароль от китайской Cisco. И делай что хочешь.

Для юных душой и межушным ганглием новое открытие: оказывается, если ты "шатаешь труба режима", то в эту игру можно шпилить и вдвоём.

А ресурсов у государства, как ни странно, чуть поболее, чем у отважного диванного шатателя.

+++
Тем более, подавляющее большинство индивидов остаются храбрецами лишь до той поры, пока чувствуют себя в безопасности.

Edited at 2019-08-25 09:54 (UTC)

Поколение снежинок

Поколение снежинок искренне верит в свою неуязвимость и анонимность. Ну чисто "Гаи Фоксы" в Маске V.
Хотя для них больше подойдёт слова из другого фильма: "Добро пожаловать в реальный мир")))

<<<некоторые спонсируемые правительством злоумышленники использовали

какой слог!!!

Молодцы китайцы если так и сделали уже. Адептам "революции зонтиков" в Гонконге надо зонтики оные затолкать в одно место. А то мудилы что-то за трудовое законодательство (которое в ультралиберальном гонконге зачаточное) или хотя бы за пятидневную рабочую неделю (в Гонконге только 1 выходной в неделю, практически нигде такой дичи не осталось) топить не даже не думали. Зато забота о беглых коррупционерах-миллионерах из материковой КНР прям так важна, что икра в рот не лезет, надо бунтовать. Жизнь можно сказать не жалко положить, лишь бы офшорный миллионер Хунь Суй Вань не был выдан китайской Гэбне.

Ну не любят они красных континентальных китайцев.

Только подполковник -- это очередное звание для майора. Ему его досрочно дать могл, это да.