Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности. Компания Telegram признала баг с утечкой конфиденциальных данных
Подробнее
ooooooooooc 4:08 ^ ÖÄWigA ôuibvyav 60189990 60189991 60189992 60189993 60189994 60189995 60189996 60189997 60189998 60189999 0^0 10:10't ► o <r Contacts ♦Ä Invite Friends 9 Add People Nearby Sorted by last seen time 60181170 last seen recently o o & 9 O O o 60181328 last seen recently 60181352 last seen recently 60181468 last seen recently 60181759 last seen recently 60181837 last seen recently 60182011 last seen recently 60182459 last seen recently 60182619 last seen recently «яйгвл*хгг.‘лт*#йявч</я kxwr.ii «W»ÚKT»oob«MWMB»ea*iRfí»4l Я>'Я пяпяямтет ■ ampw »wwixwnm WWtt*MTRÖ*№: 1Л|к./Л*^*тт*)Мак*м1у<М> Wit «Н HI »ÜXRWÄXI»RPMI|H|tl* оаофсп https://! 1тИ1ХК1г««?5ГЛ1Р Ма>М Mn<h**>)M toW estent 601811/0 Isst я**) '««Ith last и**) r««ith ftwrWUrAW« last юл iKMitV • VOnu last ми) roccflty Isst !««) i««i1h А4Г lltarb UM МИ) fKHilV
«Защищённый» мессенджер Telegram с шифрованием коммуникаций предположительно помогает сохранить анонимность пользователей — и поэтому широко используется участниками протестных акций в Гонконге. Но в последние дни среди них поднялась настоящая паника: по каналам распространяется сообщение, что у полиции есть способ определять телефонные номера пользователей Telegram. Компания Telegram признала баг с утечкой конфиденциальных данных. Она также пояснила, что это не баг, а фича. Схема предположительных действий полиции показана на скриншотах вверху: 1. Полиция генерирует контакт-лист с тысячами телефонных номеров по порядку. 2. Добавляется в группу протестующих. 3. Telegram сообщает, какие пользователи из контакт-листа уже есть в группе. Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров. Активисты говорят, что таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках Telegram никому не показывать свой телефонный номер. Привязка к телефонному номеру — один из главных недостатков мессенджера, который пытается сохранить анонимность пользователей. У властей есть богатые инструменты для деанонимизации пользователей по их телефонным номерам, для отслеживания их перемещений, определения других телефонных номеров, которые всегда находятся рядом и так далее. Основную информацию правоохранительные органы могут сразу запросить у телекоммуникационной компании. После появления информации об эксплоите Telegram информацию проверили и подтвердили несколько специалистов по информационной безопасности. Chu Ka-cheong @edwincheese У Need help from @telegram. We and multiple teams have independently confirmed a serious vulnerability that causes phone numbers to be leaked to members in public groups, regardless of the privacy setting. Telegram is heavily used in #hkprotest, it put HKers in immediate threats Q? 172 12:08 PM-Aug 23, 2019 O Q 122 people are talking about this > «Конфиденциальность телефонных номеров [Telegram] обсуждалась с начала этого года, — говорит Чу Ка-Чонг (Chu Ka-cheong), директор Интернет-общества Гонконга и один из инженеров-программистов, которые независимо подтвердили эту ошибку. — Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы. Это стало открытием для всех нас».
Конфиденциальность номера Кто видит мой номер телефона О Все Мои контакты (•) Никто Пользователи, которые уже знают Ваш номер и сохранили его в телефонную книгу, будут видеть его и в Telegram. Установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы После раскрытия этого бага пользователи начали активно покидать группы протестующих в Telegram. Активисты беспокоятся, что это затруднит координацию будущих демонстраций и действий. Чу сказал, что на данный момент нет обходного пути, чтобы избежать этой утечки данных. Протестующие советуют перейти на одноразовые Э1М-карты, зарегистрированные анонимно или на чужое имя вместо свои основных телефонных номеров. Но очевидно, что основная масса пользователей не сможет этого сделать. К сожалению, для многих пользователей уже слишком поздно. «Мы подозревали, что некоторые спонсируемые правительством злоумышленники использовали эту ошибку и использовали её для вычисления гонконгских протестующих, в некоторых случаях создавая непосредственную опасность для жизни протестующих», — говорит Чу о так называемых «титушках», то есть бандитах, которые приехали в Гонконг из материкового Китая и выполняет неформальные задания спецслужб, в том числе разбираясь с активистами. Чу Ка-Чонг говорит, что Telegram сейчас является основным каналом коммуникации, и отказаться от него очень сложно: «Переход на другое приложение, такое как Signal, не является для нас жизнеспособным вариантом, — сказал он. — Потому что способ общения протестующих сильно зависит от поддержки очень больших групп [...], у которых Telegram имеет действительно хорошую поддержку», — сказал Чу. «С другой стороны, группы Signal или Wire ограничены несколькими сотнями человек, a Signal в любом случае показывает всем ваш номер телефона. Некоторые из нас уже используют Signal и Wire в небольшой закрытой группе, но общественные обсуждения и объявления будут по-прежнему сильно полагаются на Telegram». Ответ Telegram Вчера издание ZDNet обратилось за комментариями к Telegram, и компания изучила проблему: «У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария», — сказал представитель Telegram [фактически подтверждая, что баг с утечкой конфиденциальных данных является фичей]. — Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют». Однако специалисты говорят, что это ограничение можно обойти. Злоумышленник с богатыми ресурсами, вроде правительственной спецслужбы, может легко использовать несколько ботов, а не один — ив конечном итоге импортируют всю последовательность телефонных номеров, которую хочет охватить. Суть проблемы в том, что сами пользователи не ожидали такого подвоха от мессенджера. Они ожидали, что настройка «Никто» запретит просмотр их телефонных номеров, независимо от того, были они в списке контактов или нет. Но Telegram сказал, что эта конкретная настройка работает не так, и она никогда так не работала: «Нет никакой ошибки: также, как WhatsApp или Facebook Messenger, мессенджер Telegram основан на телефонных контактах. Это означает, что вы должны иметь возможность видеть свои контакты, которые также используют приложение, — говорится в сообщении компании. — Настройки номера телефона контролируют видимость номера телефона для пользователей, у которых НЕТ вашего номера (в отличие от WhatsApp, который показывает ваш номер телефона всем в любой группе)». Таким образом, Telegram подтверждает, что как только ваш номер телефона будет добавлен в любой список контактов, этот человек (злоумышленник) сможет ассоциировать его с «анонимным» ником пользователя, независимо от настроек. Telegram предупреждает пользователей, что настройка «Никто» на самом деле действует не так, как они думают. И это не ошибка, всё работает как положено. Получается, что разработчики Telegram (как и большинства остальных мессенджеров) умышленно пожертвовали анонимностью пользователей ради роста социального графа. Через адресные книги пользователям легче устанавливать контакты со своими знакомыми. Это помогает «вирусному» распространению мессенджера и росту аудитории. UPD. «Хочу напомнить, что Павел Дуров, ещё будучи главой ВКонтакте, в один хороший день принял решение запретить пользователям скрывать список своих друзей, дабы „повысить вовлечённость”, — пишет @AlxDr. — Когда поднялась буча, сначала Павел задвинул моралистскую речь вида „цельной и морально зрелой личности нет необходимости стесняться своих знакомств”, а потом всё же под давлением общественности разрешил скрывать десяток (или около того) друзей на выбор. Это всё, что нам нужно знать о нынешнем предводителе Telegram и его понятиях о приватности, анонимности и заботе о пользователях. Telegram ничто не мешает сделать опциональную авторизацию по логину, без привязки номера телефона. Либо хотя бы возможность отвязать номер позже, после начальной регистрации, чтобы он не фигурировал вообще нигде. Кроме „интересов бизнеса”, конечно же».
I о А * Апс1уРасН51 вчера в 19:30 Д Н О Мессенджеры нужно регистрировать на иностранную предоплаченную СИМ-карту, которая продаётся без регистрации. И никогда не вставлять эту СИМ в свой основной телефон. Тариф этой СИМ не важен, важно продление пополнением, максимальный срок действия между пополнениями для продления и минимальная сумма пополнения. Например для России подойдёт украинская предоплата, главное выбрать тариф без абонплаты. пе_койп вчера в 22:15 Д Я Н О \ +2 ^ Европрипейды тоже подойдут. * Ниап сегодня в 10:44 Д н О Спецслужбы имеют возможность отслеживать рядом находящиеся телефоны. Софт это все автоматизирует и телефоны привязываются к одному человеку. Даже прослушка может вестись всех телефонов в радиусе от целевого телефона.
Гонконг, Hong Kong,telegram,политота,Приколы про политику и политиков,Восстание Зонтиков
Еще на тему
![ w / ш *** - to Ыл Л^ -/' »—тТлКь V|l*)»Jk 4^! ' -. _ КЖ^нп\^ )y . ’ ж! 'VnB pPi* n3 jmä тгг,,>* *—■■/«.дь ^ н ^—jT»J ГГШ i» ^ûijflt У«^ ? 1 I Ni Pf^btoVS^I| "Я^Ж. Лс ■ ■ тт ^1 J '5^t!i*^2¡5|*^Wer‘ ■ ,5s г.яв ж- SS^r4 J в i I i 1 J]](http://img2.reactor.cc/pics/thumbnail/post-3995219.jpg " w / ш *** - to Ыл Л^ -/' »—тТлКь V|l*)»Jk 4^! ' -. _ КЖ^нп\^ )y . ’ ж! 'VnB pPi* n3 jmä тгг,,>* *—■■/«.дь ^ н ^—jT»J ГГШ i» ^ûijflt У«^ ? 1 I Ni Pf^btoVS^I| \"Я^Ж. Лс ■ ■ тт ^1 J '5^t!i*^2¡5|*^Wer‘ ■ ,5s г.яв ж- SS^r4 J в i I i 1 J]")
А если другой мент уже добавил? Или можно решить вопрос с жилплощадью отправив всех соседей по комнате в группы протестующих.
Один из крупнейших зарубежных сайтов Reddit, нагнуло китайской цензурой. Вчера на сайте была создана тема с фото восстания 1989 года на площади Тяньаньмэнь, во время которых китайской армией было расстреляно и задавлено танками более 1000 мирных протестующих. Тема очень быстро вырвалась в топ, а в комментах эмигранты из Китая делились своими историями о тех событиях, о горах человеческого мяса, перемолотого траками танков и стрельбе в спину митингующим. Обсуждение длилось несколько часов прежде чем пост волшебным образом исчез. Казалось бы, куда подевалась свобода слова? Как оказалось, 300 миллионов долларов ценнее свободы - еще в фервале Reddit продал жопу китайской цензорной компании, той которая возвела великий китайский фаервол. И сейчас можно лицезреть результаты этой сделки: никакого восстания не было,никаких жертв и подавно.
● Телеграмм проебался.
Блять, да ебучий вы рот, я не хочу терять свой интернет! Мы знали про слив данных для рекламодателей, но теперь в открытую запрещать свободные обсуждения и облегчать поиск неугодных по политическим предпочтения власти имущим - апофеоз надругательства на свободой волеизъявления. Вся надежда на луковичку, активистам и всем им подобным.
https://www.ridus.ru/news/276736
Резюме - очень сложно. В статье описаны возможности идентификации личности спецслужбами
этой схеме сто лет в обед
и ее автор alizar
завёл ты себе новый мессенджер, а там никого нет, не с кем общаться, ты его и снёс
а так опа, контакты из телефонной книги нашлись по номеру телефона