Пару лет назад я начал исследовать приложения Telegram, протокол MTProto. Я использовал некоторые методы API не по назначению, в общем, ничего особенного. Спустя 2 года я заметил некоторую особенность, о которой мало кто упоминает, возможность испытать которую отсутствует в большинстве официальных графических приложений (за исключением Telegram X). Я начал исследовать ее и решил поделиться опытом с читателями хабра.
Telegram X
Telegram X - призер конкурса Telegram-Android, проводимый самой компанией в 2016 году, на котором были предложены приложения от многих пользователей. Первое место занял проект под названием Challegram в категории библиотеки TDLib, позже оно было переименовано и выпущено под привычным названием - Telegram X. Приложение использует TDlib (https://github.com/tdlib/td), что позволяет не задумываться насчет собственных реализаций MTProto (какие например используются в приложении Telegram Desktop).
Как работают контакты Telegram
Как вы думаете, что происходит, когда вы разрешаете приложению доступ к контактам? Как не сложно догадаться, они отправляются на сервер, где затем происходит их сверка с аккаунтами Telegram. Вы получаете этот список контактов, вы можете нажать меню "Контакты" и написать любому их них. Хорошо. Однако есть и те номера, которые еще не зарегистрировались в телеграм / скрыли свой номер, что же происходит с ними? Здесь все гораздо интереснее: они сохраняются на сервере телеграм, вы можете получить их, экспортировав пункт "Контакты" через Telegram Desktop. Добавляя контакт с номером телефона которого нет в телеграм / скрыт, вы также автоматически добавляете его на сервер.
Кроме того, вы получите уведомление, когда кто-либо создаст аккаунт с номером, который есть в ваших контактах, избежать этого уведомления для вашего контакта попросту невозможно. Пользователи уже предлагали такую возможность (https://bugs.telegram.org/c/82), но она не была реализована. Вы могли бы подумать, что анонимные номера решают эту проблему... НЕТ. Вернемся к этому чуточку позднее.
Особенность
Во всех приложениях кроме Telegram X при добавлении вы получаете плашку вида "Контакта еще нет в телеграм"
Таким образом, это похоже на функционал множества мессенджеров.
А теперь посмотрите на то же окно в Telegram X:
Я думаю вы уже догадались. 8 - число пользователей Telegram, у которых этот номер телефона загружен на сервер. Не верите? Смотрите сами: https://core.telegram.org/constructor/popularContact.
Какова ваша фантазия?
Это может быть использовано в различных направлениях, но одним из интересных - является наблюдение за парсингом Telegram.
Ни для кого не секрет что в 2020 году утекла база пользователей Telegram, предположительно полученная при помощи парсинга. Это было допущено ввиду слишком маленьких ограничений на проверку контактов. Некоторые люди просто купили много аккаунтов и начали загружать на сервер номера, чтобы сверить их. При регистрации они также получили бы чат, из которого могли бы через временные промежутки получать информацию об аккаунте. Как бы пользователь ни старался, у него не вышло бы скрыть себя, он даже не знал бы кто именно добавил его контакт.
Сейчас все эти теории можно проверить наглядно. Введите популярный номер, скрытый или не зарегистрированный в Telegram (например +79998887766) - получите "более 1000 контактов". Введите случайный из существующего диапазона - получите несколько. И этих несколько будет достаточно, чтобы автоматически обновлять информацию о вашем имени в Telegram, статусе, собирать ваши аватарки. У обычных, используемых номеров значение больше 100 - действительно, друзья имеющие доступ к Telegram уже загрузили ваш номер на сервер. Но почему у пустых или виртуальных номеров, которые никогда никому не принадлежали уже есть "знакомые в Telegram"? Думайте сами. Введите случайные цифры из несуществующего диапазона - вы с большой долей вероятности не получите ничего. И действительно, никому не нужно собирать такие номера, они никогда не могут быть кем-либо использованы.
Эксперимент с покупкой виртуальных номеров (не от Telegram)
Я приобрел номера нескольких стран чтобы проверить количество потенциальных знакомых в Telegram. Результаты не обрадовали меня.
Так еще с несколькими номерами. Большая часть имела знакомых, вы можете проверить мои слова самостоятельно, приобрести, проверить и отменить номер. Множество сервисов позволяют сделать это.
Анонимные номера
Кладезь для параноиков, покупка криптовалютой, никакой привязки к аккаунту, верно? Да, но все только хуже. Во-первых транзакции в сети TON прозрачны и их может проанализировать каждый. Во вторых АБСОЛЮТНО ВСЕ номера вида +8880XXXXXXX имеют от ДВУХ контактов. А именно такие номера в большинстве случаев продаются на https://fragment.com/. Вы можете проверить случайный номер не с нулём, а, например, с девяткой - получите 0 "знакомых". Получается, что кто-то спарсил 10 млн анонимных номеров, иначе объяснить это сложно. Анонимность новых номеров на нуле, вы также можете добавить их через контакты и получить после уведомление о регистрации.
К чему это все?
1) Добавляем случайный ещё никому не выданный номер в свои контакты
2) Когда он регистрируется в телеге из уведомления получаем ID пользователя (теперь пользователь может как угодно скрывать свой номер настройками приватности - он однозначно идентифицируется)
3) Собираем базу данных с телефонами и ID
4) Проходит много лет и пользователь телеги решает совершить что-нибудь нехорошее в каком-нибудь чате думая, что он анонимен, но он ошибается - все кому надо уже знают его номер телефона
5) Звоним опсосу и просим предоставить данные о клиенте с таким номером
6) Дело раскрыто, все плохие мальчики и девочки наказаны.
Комментарии (115)
ifap
00.00.0000 00:00+22Вот я купил номер кипра. А у него уже целых 8 "знакомых в телеграм"!
Все же есть еще одно объяснение этого феномена: Дуров элементарно врет, чтобы создать у пользователя чувство вовлеченности, сопричастности и этого всего. Из серии "в нашей группе уже 100500 ваших друзей" в ВК, при том что на акке вообще 0 друзей.
freeExec
00.00.0000 00:00+3Вроде автор писал, что если на другом акке, этот номер добавить в контакт, то цифра измениться. Т.е. можно наглядно убедится что это фича работает, хотя да, может оказаться, что 0 это 8.
ifap
00.00.0000 00:00Я допускаю, что Дуров лжец, а не идиот ;) Т.е. может существовать некий алгоритм: если у номера 0 "фолловеров", рисуем от балды значение от X до Y, если от 1 до 3 - пририсовываем еще в некотором интервале, а если 10 и больше - ничего пририсовывать не надо.
freeExec
00.00.0000 00:00+2Не, это как раз вот глупо. Сегодня посмотрел их 8, завтра посмотрел их 6. Добавил 1, а добавилось 3.
mentin
00.00.0000 00:00+1По утверждению автора, можно получить и 0 для некоторых номеров, сложноватый алгоритм получается
Вы можете проверить случайный номер не с нулём, а, например, с девяткой - получите 0 "знакомых".
FWI
00.00.0000 00:00Зачем так усложнять? Рисуем значение от X до Y и прибавляем к реальному числу контактов. При большом количестве контактов добавленное число не будет заметно, но при маленьком числе контактов это создаст приятный эмоциональный фон у нового пользователя.
lorc
00.00.0000 00:00+1Ну исходный код доступен: https://github.com/TGX-Android/Telegram-X
Можно посмотреть что оно там делает.
YuryB
00.00.0000 00:00-1всё может быть проще, вы не думали откуда берутся эти номера? есть сервисы приёма смс и т.д., это на самом деле обычные номера обычных людей, которые пользуются китайскими звонилками с бекдор функциями. эти звонилки не только нужные смс не показывают пользователю, но и иногда сами звонят на платные номера. на том же вайлдберис полно срача в отзывах на якобы простые кнопочные китайские звонилки от которых потом баланс в минусе.
K0styan
00.00.0000 00:00+9Анонимность в открытой сетевой системе - нонсенс. Она достижима, да, но требует такой дисциплины от всех участников сети, что на практике нереализуема. Анонимный идентификатор теряет смысл в тот момент, когда любой из ваших контактов сохраняет его с вашим именем (или любым другим алиасом, выводящим на личность). До записной книжки этого контакта ещё, конечно, добраться надо, но как ни крути, она вне зоны вашего контроля...
А номера Телеграма полезны не только с точки зрения анонимности - как минимум их не получится перехватить, придя в салон сотовой связи и попросив восстановить SIM карту.
BoreaAlex
00.00.0000 00:00+3Немного поправлю:
1) До записных книжек друзей добираться особо не нужно - кто-то один всегда добровольно сольет свою книжку в Getcontact
2) Включаем в телеграме двухфакторку и можно не бояться угона симки
K0styan
00.00.0000 00:00+2Справедливо) Но по поводу п.2 есть обратная история - есть риск утери телефона вместе с симкой и отсутствием салонов поблизости (например, вы за границей)
vagonovozhaty
00.00.0000 00:00+1Если есть авторизация где-нибудь ещё, то код приходит туда, а не в СМС.
Держите более одного устройства с вашей телегой, и можно обходиться вообще без симки, если что.
Gor40
00.00.0000 00:00+1На работе смотрю Телеграм через браузер. Браузер в режиме инкогнито, чтоб вечером не забыть выйти из какого-либо аккаунта. Так неделю назад вечером Телеграм почему-то разлогинил меня на телефоне и при попытке входа сообщил, "код для входа отправлен на другое устройство, скопируте код сюда". Пришлось переустанавливать.
Neyury
00.00.0000 00:00Специально для этого перешёл на esim, чтобы всегда можно было получить новую симку будучи за границей.
Правда у оператора, которого я использую, есть один нюанс, у него авторизация в приложении по смс на этот же номер. Решил эту проблему тем, что заранее скачал и настроил приложение на нескольких устройствах.
Надеюсь они рано или поздно реализуют TOTP в качестве второго фактора, вместо смс, но пока глухо (
UPD: и у esim нашел ещё один плюс для себя, такую симку нельзя просто вытащить из лотка и угнать тем самым, т.е. больше не нужно ставить пин на сим
UPD 2: а ещё у него отсутствуют офисы в которые можно придти с "чужим" паспортом для восстановления сим
lrrr11
00.00.0000 00:00+1терять и ездить за границу не нужно. Я какое-то время назад пытался зарегистрировать родителей в телеге, и пару дней не мог этого сделать, потому что им (на самые обычные симки мегафона) тупо не приходили смс с кодами.
С анонимными номерами такой проблемы нет - авторизуешься на fragment.com по своему криптокошельку, получаешь там код, и можно пользоваться. Правда смущает, что исходники этого сайта не выложены в опенсорс - без них это обычный сайт, который может попасть под DDoS, а не web3-приложение, работающее с любой нодой блокчейна TON.
Хотя на самом деле даже сайт с блокчейном не нужны - очевидно что коды доступа там генерируются алгоритмом вроде HOTP/TOTP на основе твоего секретного ключа. Осталось только узнать этот алгоритм и запилить его в приложение вроде Google Authenticator.
anonymous
00.00.0000 00:00НЛО прилетело и опубликовало эту надпись здесь
ifap
00.00.0000 00:00+2не по доверенности которую никто не может проверить
Прям уж никто https://www.reestr-dover.ru
DGN
00.00.0000 00:00+2А что вы будете делать если попадете в аварию и не сможете ходить в салон связи?
Да и личное присутствие не гарантия, сделать фейковый паспорт не так и дорого. И уж тем более вариант коррумпированного или запуганного сотрудника, а то и обязанного сотрудничать с ФСБ.
Просто надо понять, что телефонный номер не ключ к чему-то очень важному, что может стоить вам денег или свободы.
P.s. Насколько реально добавить функцию делегирования облачного пароля доверенным контактам? Грубо говоря, если я хочу добавить новое устройство, то еще трое из пяти доверенных лиц должны ввести свой облачный пароль. Ну примерно как "Вася брат хочет добавить устройство iphone11, свяжитесь с ним лично чтобы убедиться в истинности намерения, получив подтверждение введите свой пароль.
В итоге, злоумышленник не знает кому делегирован пароль, атака потребует доступа ко всем контактам.
anonymous
00.00.0000 00:00НЛО прилетело и опубликовало эту надпись здесь
Levitanus
00.00.0000 00:00+5А я вот из Германии вообще не могу ни симку восстановить, ни сбербанк открыть. И мне эта вся байда про "безопасность" личного присутствия в салоне связи региона регистрации - кажется фигнёй, а не аргументом.
Тот же Яндекс хранит у себя достаточно данных для идентификации, чтобы ему не нужен был мобильник в качестве гарантии идентификации меня любимого.
И по идее, у Сбера также. Но вот в Яндексе я смог восстановить ID без сим-карты, а Сбер, видимо, не заинтересован в выплате ему кредита)
Такая же байда - WhatsApp. Ну нельзя привязываться к симке... Хотите достоверно идентифицировать пользователя - делайте свой ID. Или пользуйтесь готовым: Google, Яндекс, ВК, Сбер.
vikarti
00.00.0000 00:00+1Как быть если реально пользователь не может прийти в салон?
Потому что он в больнице/дома травмирован лежит/ему 80+ лет и просто сложно идти?
У ТиньковМобайла я ответ знаю :) — проблемы нет потому что любая замена симки (кроме замены на eSIM с авторизованного приложения) означает приезд курьера который будет смотреть паспорт.
А что у других операторов?anonymous
00.00.0000 00:00НЛО прилетело и опубликовало эту надпись здесь
vikarti
00.00.0000 00:00оформите ему любую симку на себя и дайте в руки
Если ситуация УЖЕ случилось, и нужна именно этого пользователя симка ему потому что к ней привязано разное… причем для пользователя это — реальный случай а то что слишком легкая процедура другим проблемы создает — это не его проблемы и в итоге и пользователь и тот кто честно получил доверенность будут тыкать в законы где запрета нет.
Это я к тому, что проблему надо решать, хотя бы сделав запрет на использование доверенности на уровне законов. А лучше — придумать как в таких случаях проблему решать (вот только многие возможные на первый взгляд способы решения — на самом деле тоже могут быть проблемой). По сути — проработать как можно делать замену НЕ самим лицом с учетом рисков.Мне вот у мегафона встречался интересный вариант. В легитимном то случае нам что надо? Новую симкарту без визита, и возможно при отсутствии доступа к старой? Так может выдать ЕЩЕ одну симкарту заранее а потом разрешить перенос на нее номера по звонку пусть даже с другого аппарата? https://moscow.megafon.ru/services/useful/zapasnaya_sim/zapasnaya_sim.html
Кстати доставка в МТС теоретически тоже есть,https://media.mts.ru/internet/134869/, включая вне России, но совсем не мгновенно и не бесплатно.
Holger108
00.00.0000 00:00+2Мне вот у мегафона встречался интересный вариант.
Действительно интересный. Им бы стоило рекламировать "Запасную симку", так как это конкурентное преимущество.
И emotion (звонки и смс с приложения на любом телефоне) довели бы до ума.AlexHighTower
00.00.0000 00:00смс из emotion уже выпилили, к сожалению, под формулировкой "окончание жизненного цикла функционала" (((
Holger108
00.00.0000 00:00Значит, кривое изначально нормально уже не заработает. :(
Из-за этого приложения выбрал Мегу, но оказалось, что оно тупо не работает на моем телефоне. Телефон сменил, заработало, но смс Сбера туда не ходили (критично).
Попробую сейчас его использовать, как диктофон для звонков, но предчувствия нехорошие :)
AlexHighTower
00.00.0000 00:00смс от сбера и прочих "коротких" номеров, как и отправка на них никогда в приложении не работала "бай дизайн" для "безопасности" (ussd тоже мимо)
поэтому, к сожалению, emotion для замены физического телефона никогда использовать было нельзя, только исключительно для голосовых звонковHolger108
00.00.0000 00:00Можно было бы понять, если бы они запретили получение всех кодов авторизации, но нет. Коды от Госуслуг приходили.
Это же Мегафон, постичь логику их приложений невозможно, я ещё их банковским приложением пытался пользоваться, там то же было странное, а потом и проект закрыли, думаю, и eMotion не жилец.
eee94
00.00.0000 00:00+16А, может быть, просто не прибивать гвоздями личность человека к мобильному номеру. Ну вот вообще - ни в банках, ни в госулугах, ни в телеге, ни где-либо еще.
Тогда потерянный телефон не будет катастрофой, временно можно использовать любой, позднее восстановить свой.
vikarti
00.00.0000 00:00Вот кто бы это объяснил тем же банкам и госуслугам.
Нет ну конечно есть вариант брать номер от сервисов ИП-телефонии с поддержкой СМС (это можно сделать удаленно, идентификация там есть, разными способами, а "перевыпуска SIM" нет) но — это деньги дополнительные, риск что если оператор оборзеет то вообще никак проблему не решишь
Naps
00.00.0000 00:00Ну спасибо. нотариальную доверенность вполне себе можно проверить.
А если "растеряша" в другой стране?
Moskus
00.00.0000 00:00Откровенно глупый вопрос. Человек, который осознанно ставит своё благосостояние в зависимость от того, чтобы не профукать, например, один из имеющихся у него TOTP-токенов или одну из Sim-карт, осознанно принимает правила "игры", в которой ответственность за это лежит на самом индивидууме.
Naps
00.00.0000 00:00так человек к этому готовится, он делает специально несколько нотариальных доверенностей, как раз на случай таких форсмажоров.
впрочем некоторые опсосы уже кладут в какой то степени и на генеральные доверенности заверенные нотариально.
Moskus
00.00.0000 00:00Смысл в том, что когда речь о "ключе от квартиры, где (не очень видимые тому или иному правительству) деньги лежат", сценарий того, что индивидуум просто тупо профукал ключевой предмет, не может служить основным контр-аргументом для выбора метода аутентификации. Административные или законодательные препятствия, которые не зависят от индивидуума - сколько угодно, но не потеря средства аутентификации, выбранного полностью сознательно.
Holger108
00.00.0000 00:00впрочем некоторые опсосы уже кладут в какой то степени и на генеральные доверенности заверенные нотариально.
Как таковых генеральных доверенностей нет, каждый кейс нужно вписывать отдельно.
В некоторых регионах получить доверенность с неконкретными формулировками невозможно, нужно вписывать, например, конкретный банк или конкоетного оператора.
Некоторые банки то же кладут на доверенность при восстановлении доступа в интернет-банк. Это Сбер.
Т. е. прийти в отделение и снять по доверенности $10 000 - без проблем. Но при блокировке СБОЛ восстановить доступ могут только самые упертые вроде меня, других примеров пока не встречал. Народ мучается со своими возрастными родственниками, блокировки фатальны.
Они изначально подразумевают, что пользоваться ИБ может только сам клиент без права передоверить.
vp7
00.00.0000 00:00+4Тут более глобальная проблема. Операторы оказывают услуги связи, получая с абонентов иногда по 10 рублей в месяц (а иногда и по 5 тысяч рублей, не спорю). А какие-то недотëпы ввели номер телефона в ранг уникального идентификатора, которому требуется защита от взлома на уровне паспорта. Так как на номер может быть завязана вся цифровая личность (а часто и физическая - через госуслуги, приложения банков,....), то и ответственности операторам хотят навешать по самое самое. НО сами технологии сотовых сетей строились по принципам, не позволяющим обеспечить тот самый уровень ответственности.
По-хорошему, нужно менять сам идентификатор.
По поводу доверенности - с одной стороны согласен с вами. С другой - если сейчас оператор откажется работать по доверенности, то это нарушение нескольких ФЗ и очень большой штраф (если упирается рогом, то вплоть до закрытия юрлица). Поэтому первым делом нужно менять законодательство в части доверенностей и ЭЦП. Помнится были прецеденты, когда у людей продавали квартиры по выпущенным мошенническим способом ЭЦП, а вы тут про какие-то симки говорите.
rombell
00.00.0000 00:00"если сейчас оператор откажется работать по доверенности, то это нарушение нескольких ФЗ"
Оформлена доверенность на 6 страницах, с нотариусом сидели и перечисляли всё, что могло в голову прийти. От продажи/дарения квартиры до получения карточек в банке (отдельно Сбере, отдельно в остальных), представительстве в суде и оплате госпошлин.
В результате всё равно уже дважды пришлось делать дополнительную, потому что "да, всё есть, но вот конкретно этой строки нет".VADemon
00.00.0000 00:00Оформлена доверенность на 6 страницах, с нотариусом сидели и перечисляли всё,
Я честно не пойму, зачем? Есть же понятие "генеральная доверенность"? И тем не менее от "юристки, которая в госорганах этим и занимается" такое полотно на 1.5 страницы и пришло.
rombell
00.00.0000 00:00+1Так вот как раз и нет такого понятия нынче. Нельзя написать "доверяю всё". Если есть явно указанное в тексте — значит, можно. Не написано явно "может получать карточку в банке" — не дадут. Счёт закрыть может, деньги снять может, а карточку к счёту получить не может. И точка.
ifap
00.00.0000 00:00+1как минимум их не получится перехватить, придя в салон сотовой связи и попросив восстановить SIM карту
А вот куда надо придти, чтобы их перехватить, знают не только лишь все. В случае классического угона, есть определенный путь: заявление в полицию, изъятие записей с камер, суд, навешивание всех собак на оператора. Есть, в теории - есть. А в случае с "номером Дурова" Вам предстоит идти в Высокий суд Лондона и там затирать про угон цифр, которые Паша называет номером, которые Вам выдали на основе UA, который Вы не читали, хотя там английским по монитору написано: as is, кото... простите, у Вас кончились деньги на адвоката.
shaaimars
00.00.0000 00:00А вы не думали что она, эта анонимность, в данном случае требует лишь то, что было предложено - не открывать новый чат при регистрации номера всем тем, у кого этот номер в контакте? Это ведь единственное упущение, благодаря которому вся "анонимность" может пойти коту под хвост.
anzay911
00.00.0000 00:00+1Если через некоторое время (дни, недели) число повторяется, то остаток от хэша. Если разное, то рандом.
bolk
00.00.0000 00:00+3«Какова ваша фантазия?», «наблюдение за парсингом телеграм» (каких таких телеграмм?), «Это было допущено ввиду слишком маленьких ограничений на проверку контактов»…
Это перевод что ли?Moskus
00.00.0000 00:00+4Это, извините, непосредственный продукт клише "зачем учиться писать грамотно, ведь все равно понятно", перешедшего (сюрприз для некоторых) из количества в качество. Это не просто не по-русски, это не складывается в какой-то определенный смысл.
leshabirukov
00.00.0000 00:00+9Телеграмм и новая жизнь старого номера это да. "<ваш покойный батя> теперь в Телеграмм!" вызывает непередаваемые чувства. Теперь смотрю на список контактов и думаю, сколько там нечаянных "оборотней".
dartraiden
00.00.0000 00:00+1Люди, которые оставляют "покойного батю" в контактах, могут словить неприятные ощущения и похлеще. Например, если по случайности номер достанется кому-то, промышляющему холодными звонками.
leshabirukov
00.00.0000 00:00В смысле случайно позвонят? Маловероятно и не смертельно, если адресно начнут разводить, может быть опасно наверное, особенно если это "двоюродная тётя" о которой ты не знаешь, что она покойная. А номер из контактов я конечно после этого удалил.
rombell
00.00.0000 00:00+1Ну а я в такой ситуации просто поддерживаю симку на плаву. Стоит это 1р в месяц, чтобы не протухла. Иногда (раз в два дня) звонят спамеры. Дважды звонили по делу, причём первый же звонок окупил симку на много столетий вперёд — внезапно решили вернуть вклад из лопнувшего банка
Dolfik
00.00.0000 00:00+1Работает странно, насколько раз ловил такое, что сперва возвращал 0, а после повторной попытки 2. Например такое было на номере +9996619009
Сейчас же стабильно стал показывать 0 на номерах +9996619011.
Было бы интересно ещё проверить поведение на тестовых серверах телеграм.
cramp Автор
00.00.0000 00:00+1На тестовом сервере отключены некоторые вещи, например видимость IP сессий (у +999 номеров по крайней мере).
savostin
00.00.0000 00:00Сколько покупал виртуальных номеров, у всех у них был предыдущий владелец, а то и несколько. Приходится отвечать на звонки каких-то фирм
или алкашей. Было бы расточительно после отказа от виртуального номера выбрасывать его на помойку и брать свежий. Да и реальные номера так же переиспользуются.YuryB
00.00.0000 00:00а чего вы ожидали? :) что вы будете первый, при том, что в номере не так уж и много цифр
savostin
00.00.0000 00:00Так это автор удивляется, что "новый" номер уже у кого-то есть в контактах.
YuryB
00.00.0000 00:00нет, он о другом, что можно деанонить людей при регистрации простым образом
MAXInator
00.00.0000 00:00Так нельзя ж, если у номера было несколько владельцев.
YuryB
00.00.0000 00:00+12) Когда он регистрируется в телеге из уведомления получаем ID пользователя (теперь пользователь может как угодно скрывать свой номер настройками приватности - он однозначно идентифицируется)
вы же можете удалять свой аккаунт и регать его опять на этот телефн, уведомление вашим контактам будет приходить, что вы опять в телеге.
odins1970
00.00.0000 00:00что мешает купить симку за границей и на нее зарегестрироваться ?
cramp Автор
00.00.0000 00:00В статье показано, что иностранные номера из сервисов смс активаций имеют знакомых, которые потенциально могут получить связку с этим номером.
Многие сервисы смс активаций сотрудничают с правохранительными органами.
YuryB
00.00.0000 00:00+1её надо как-то купить и как-то платить абон плату. возникает вопрос, а мы в 2023 или 1980г живём, чтобы так дергаться ради аккаунта? это технически невозможно было в телеге регать на почту? эта привязка к номеру уже столько раз вылазила боком, зато трафик зашифрованый...))
Teomit
00.00.0000 00:00В некоторых странах предоплаченые симки легальны. Которые можно купить в ларьке за наличные. Которые позволяют быть номеру активным и получать входящие смс без пополнения ещё год.
vikarti
00.00.0000 00:00Тут не только телега — это проще чем заставлять пользователей логины-пароли придумывать. И обеспечивают некоторую долю индентификации пользователя.
В Matrix вот задумка чуть интереснее, примерно так:- идентфикатор пользователя это matrix (привязанный к серверу конкретному).
- как пользователь будет туда логинится — это вообще проблемы конкретного homeserver (и есть варианты… разные)
- есть такя штука как identity server — по сути сервис который мапит e-mail или телефон (да вообще что угодно) в matrix id. matrix foundation с element держат общедоступный identity server который работает с e-mail (телефоны не держат), при желании — владелец конкретного homeserver может решить использовать другой identity server (ну да — посыпется единство пространства — общедоступные identity server'ы НЕ федерируются сейчас) или не использовать его вообще (и тогда нельзя будет реализовать функцию "найти все контакты по e-mail/телефону конкретным identity server)".
- на общедоступных identity server'ах телефоны сейчас не поддерживаются
FWI
00.00.0000 00:00Каждый раз, когда парсится номер, это добавляет +1 к числу контактов. А это уже означает, что мы можем отслеживать, сколько раз этот номер парсился, и узнавать его примерный возраст (больше контактов - больше парсился - старше).
Также можем отслеживать, когда происходит новый парсинг номеров, и какие группы номеров парсятся чаще.
Единственное, что вызывает настороженность, - это приписка "примерно". Точно ли число контактов, отображаемое Telegram, является точным?
StSav012
00.00.0000 00:00Пока пользователь получает код, число контактов может измениться. Редко, но может.
YuryB
00.00.0000 00:00+9месенджер, который привязывается к вашему номеру, никогда не будет конфиденциальным, на совести Паши тысячи людей, которые отсидели 15-30 суток в пыточных условиях или получили уголовку за комментарий в РБ. что ему мешало дать возможность регистрировать аккаунт на почту? ничего кроме потребности в монетизации. он даже двойное дно принципиально делать не хочет, а говорит про безопасность...
vikarti
00.00.0000 00:00он даже двойное дно принципиально делать не хоче
Спасибо opensource. И белорусским партизанам. Есть версия, которая заявляет что решает эту проблему.
YuryB
00.00.0000 00:00в теории да, на практике сам факт пользования этой версией делает вас в глазах милиции-полиции экстримистом со всеми печальными для вас вытекающими. так что эту версию в РБ (где у вас могут незапно проверить телефон) я бы ставить не стал
vikarti
00.00.0000 00:00Судя по их FAQ — они считают что рядовой ОМОНовец не сможет отличить эту версию от обычной, маскировкой озаботились, надо проверять телефон специалисту.
Вопрос насколько.YuryB
00.00.0000 00:00+1по-моему есть примитивный до безобрасия способ понять что у вас стоит левое приложение зайдя просто в гугл плей. а дальше начнутся побои прямо на месте и всё сами раскажите.
vikarti
00.00.0000 00:00Есть логичные причины иметь приложение НЕ с Google Play. И сразу об этом сказать.
Источник установки на самом деле смотрится еще проще, пряма с устройства.
ku4in
00.00.0000 00:00А почему эти номера не могут быть просто ошибочно записаны в телефонах? Ведь при записи номера вы скорее ошибётесь в последних цифрах, а не в начале, где код страны и оператора.
dmt_ovs
00.00.0000 00:00-1А к чему все эти сложности с конфиденциальностью и вопросами привязки симок, когда эти же симки у метро бесплатно раздают? Те, кому нужна настоящая анонимность - найдут решение, а обычным людям без разницы)
Devadas
00.00.0000 00:00Когда он регистрируется в телеге из уведомления получаем ID пользователя
Посмотрел на десктопной версии и не понял, как это делается. Уведомление не переслать боту GetMyID...
Martuik
00.00.0000 00:00-1Что за записки юного школьного детектива? Для начала уведомления выключаться в настройках о новых пользователях, и при покупки нового номера в 90% случаев он не будет засвечен не где, если брать номер конечно у ответственных операторов а не на чёрном рынке
cramp Автор
00.00.0000 00:00+1Вы можете отключить уведомления для СЕБЯ уже ПОСЛЕ создания аккаунта. Вы НИКАК не можете избежать отправки уведомления о вашей регистрации вашим "контактам".
bsv134
00.00.0000 00:00Интересно, а если перенести телеграм-аккаунт на новый номер, то что произойдет со старым? Он всё равно останется в контактах, или его "вытеснит" новый, а старый исчезнет у всех со списков, пока его снова не добавят? Суть в том, что если этот финт пройдет, то можно "очистить" анонимный, да и любой другой номер, потом на нём повторно зарегистрировать аккаунт и выкрутить в настройках невидимость номера. То есть сделать таки реальную анонимность. Сможете проверить? Можем скооперироваться для эксперимента, чистые номера есть.
cramp Автор
00.00.0000 00:00При повторной регистрации старого номера знакомые повторно получат уведомление. Я проверил, импортеры не пропадают, да и это логично.
bsv134
00.00.0000 00:00+1А у меня вроде получилось. Для воспроизводимости опишу всё подробно. Если кто тоже повторит - делитесь результатами.
Исходные позиции: один смартфон, два чистых номера (анонимных, хотя не должно играть роли) и основная моя учетка в роли большого брата (далее ББ) с версией телеги, отвязанной от маркета. Для проверяемых аккаунтов установлен чистый телеграм с g.play, и, само собой, без прав доступа к адресной книге.
Первым делом ББ берет номера под наблюдение - записываем контакты в адресной книге телефона. Имена записей "Алиса" и "Боб". ББ выжидает, зловеще потирая ручки.
Регистрируем новый телеграм-аккаунт с первого номера ("Алиса" у ББ). При регистрации укажем имя "123" и сразу бежим в настройки конфиденциальности, блокируем поиск по номеру телефона (попутно и все соседние настройки тоже - видимость активности, пересылка и т.д.). Для профилактики и в разделе "контакты" снимем галочку с синхронизации и тапнем "удалить импортированные контакты". На этом этапе неискушенный пользователь думает, что теперь-то он полный анонимус.
Тем временем у вездесущего ББ уже давно маячит приват с нотисом - "Алиса теперь в телеграм", и контакт под этим именем телега заботливо сохранила в списках контактов ББ, да ещё и вместе с номером. Полный колпак.
Теперь перенесем учетную запись "Алисы" на второй номер ("Боб" у ББ), попутно меняя имя профиля с "123" на "456". И теперь начинается интересное - у ББ появляются большие проблемы:
Во-первых, телеграм скрыл номер контакта Алисы. Это очень хорошо.
Во-вторых, ББ не увидел нотисов, что номер Боба теперь в телеграм!
В-третьих, с какой-то задержкой, но телеграм сбросил у ББ и имя контакта "Алиса" на "456", указанное самим пользователем (предполагаю, что если имя не трогать, оно сбросилось бы и на "123", но этот сценарий не проверил). То есть факт невидимости номера "Алисы" прилетел к ББ моментально, а вот переименование с некоторым лагом. Причем этот лаг ещё и поэтапный - сначала может переименоваться контакт, а заголовок чата с контактом - ещё чуть позже. Но я считаю это не столь важный нюанс, просто особенность.
На данном этапе колпак, можно, сказать, свергнут. ББ ничего не знает про факт регистрации номера Боба, настройки конфиденциальности отработали как надо. И принадлежность номера Алисы в телеграме теперь тоже загадка, только известно, что с него когда-то отпочковался аккаунт "456" без рода и номера, который тем не менее остался в контактах ББ. Да и то при условии, если ББ сможет его опознать среди моря аккаунтов, за которыми он тоже бдит. Для лёгкого решения этой задачи мне пришел на ум только один выход - метка черновиком - как только ББ увидит Алису в онлайн, пишет ей сообщение "Это Алиса, тел. номер 1", но не отправляет, вечный черновик. Хотя у такой метки может оказаться короткий срок жизни, не знаю.
Далее я попробовал сменить номер обратно (с Боба на Алису). Никаких нотисов ББ вновь не получил. Вроде бы уже ничего нового быть не должно, но появилась ещё одна мегаприятная изюминка - неожиданно телеграм удалил этого пользователя из списка контактов ББ (тележного, разумеется, а не из памяти устройства). Хорошая новость в том, что если ББ закрыл приват с "Алисой" - то он навсегда потерял этого пользователя из виду, а плохая, если не закрыл... То есть технически обрубок хвоста всё ещё не сброшен.
И уже вроде все ходы испробованы... Но решил теперь зарегистрировать параллельно второй аккаунт на освободившемся номере Боба. Сначала по привычке сразу побежал в настройки резать конфиденциальность, а потом к своему удивлению обнаружил, что у ББ нотиса-то нет! А это значит, что осталось перенести аккаунт с номера Алисы на третий "временный" номер, зарегать на освободившемся номере Алисы заново аккаунт, третий аккаунт дропнуть и всё готово - мы получили в телеграме аккаунты номеров Алисы и Боба, про которые ББ ничего не знает, а у него в лучшем случае в приватах висит удаленный аккаунт с меткой-черновиком.
Может это всё не сработает, если в роли ББ будет выступать бот. Надеюсь, кто-то это проверит :)
dolfinus
00.00.0000 00:00вы получите уведомление, когда кто-либо создаст аккаунт с номером, который есть в ваших контактах, избежать этого уведомления для вашего контакта попросту невозможно.
В официальном клиенте на Android в разделе Notifications and Sounds есть вот такая настройка:
Я чего-то не понимаю?
bsv134
00.00.0000 00:00Тема не про управление уведомлениями своего устройства, а про парсинг аккаунтов и невозможность его избежания, просто автор некорректно выразил свою мысль. Имелось ввиду что-то такое:
"Кроме того, все люди увидят (не важно, с нотисом, или без), что вы создали аккаунт с номером, который есть у них в контактах, избежать этого вам попросту невозможно."
А далее уже приводится ссылка с давним предложением о реализации входа с "тихим режимом", невидимкой. То, что закрыло бы полностью поднимаемую автором проблему.
centralhardware2
Я все равно не понял как злоумышление по привелегным в статье данным перейдет от факту регистрации в телеграмме к реальной личности владельца
cramp Автор
Получив связку ID - номер телефона, вы можете сделать многое. Например, проверить этот телефон в различных слитых базах. Узнайте подробнее про утечку Telegram 2020 года, которая коснулась 40 млн пользователей (около 10 - российских). По утверждениям Telegram она получена как раз таки парсингом. Присутствие парсинга по нынешние дни подтвержает статья
yatanai
Эта "фича" была доступна с самого старта и об этом все говорили, мол что это всё небезопасно, а приватность там только в секретчатах хорошая.
iroln
Пара ID/анонимный номер, купленный за TON, ничего вам не даст. TON можно получить анонимно, например, обменом на одноразовом анонимном аккаунте на KuCoin (KYC не нужен) из Zcash, заведенных с shielded адреса. Выход в сеть, взаимодействие с биржей, фрагментом и блокчейнами через Tor. Транзакции в блокчейне вам ни о чём не скажут. Удачи узнать кто был этот пользователь.
cramp Автор
Имея привязанный номер пользователя можно сделать многое. Можете прочитать о схемах сноса аккаунтов на тематических форумах
RainAustin
Интересно получается что через телеграмм можно вычислить и хозяев наркошопов которые там зарегистрированы? Странно что правоохранительные органы этим еще не пользуются или им не дают доступ.
Holger108
Они на левые симки регистрируются, которые в руках никогда не держали, есть сервисы для этого.
А самой Телеге глубоко пофиг на наркошопы, они годами существуют и их не трогают.
ReinRaus
Добавляем случайный ещё никому не выданный номер в свои контакты.
Когда он регистрируется в телеге из уведомления получаем ID пользователя. (Теперь пользователь может как угодно скрывать свой номер настройками приватности - он однозначно идентифицируется).
Собираем базу данных с телефонами и ID.
Проходит много лет и пользователь телеги решает совершить что-нибудь нехорошее в каком-нибудь чате думая, что он анонимен, но он ошибается - все кому надо уже знают его номер телефона.
Звоним опсосу и просим предоставить данные о клиенте с таким номером.
Дело раскрыто, все плохие мальчики и девочки наказаны.
centralhardware2
Не вижу пункта узнаем личность владельца номера
cramp Автор
Это можно сделать, поискав номер телефона по слитым базам (или не слитым, смотря кто ищет)
develmax
Зачем для этого телеграм аккаунт? Ведь номер можно итак поискать в базах и узнать личность через опсосов? Чтобы проверить факт существования его в телеграме? Еще номера могут переходить от одного пользователя к другому, при этом можно менять привязку к другому номеру.
Antra
Вероятно речь о том, что в отличие от других мессенджеров можно делиться с другими только своим ником. Не номер своего телефона дать кому-то, а ник. Во всяких публичных чатах светить только ник, а номер телефона скрывать.
Благоаря же описанной процедуре некто имеет возможность вести базу, связывающую ник и номер телефона, что существенно упрощает деанонимизацию.
Hisben
Но вы же сами упомянули виртуальные номера, причем не какой-то российский, а сразу кипра
В данном случае, как мне кажется, мало что меняет - стал известен этот номер или нет.
Teomit
Номер является предоплаченным и был лишь один раз доступен в сети с неизвестного IMEI для получения смс с кодом регистрации Телеграм.
cramp Автор
Получается, еще и мобильник нужен новый? А что если БС хранят информацию о подключениях? Прошерстить обозреваемых в метро по камерам. Десять тысяч человек явно меньше сотен миллионов.
EviGL
Да, но только если он включил синхронизацию контактов. И это в целом странный шаг, добавлять случайный номер без телеги и выжидать чего-то. Делают это обычно так:
Добавляют сразу 500 номеров в контакты
Регают с ними аккаунт с синхронизацией контактов
Получают аккаунты тех номеров, на которых уже есть телега, сохраняют их ID
Повторяют эти шаги для всего требуемого диапазона номеров.
Довольно очевидно, что если сидишь в телеге с синхронизацией контактов, то твоя связка аккаунт-телефон на карандаше.