Telegram является очень распространенным мессенджером в Иране, его аудитория достигает 20 млн. человек. Мессенджером пользуются многие гражданские активисты, а также журналисты, так как он предоставляет высокий уровень защищенности пересылаемых данных. При активации пользователем нового устройства, Telegram посылает на него код активации в специальном SMS-сообщении. Данный код может быть перехвачен на уровне телекоммуникационной компании и оказаться в руках хакеров.
Согласно комментариям экспертов Reuters, это далеко не первый случай компрометации аккаунтов сервиса Telegram за счет перехвата кодов активации в SMS-сообщениях. Когда речь идет о гражданских активистах, которые хотят защититься от любого типа вовлечения государства в их деятельность, доступ телекоммуникационных компаний к этому процессу может быть критическим для безопасности.
Iranian hackers have compromised more than a dozen accounts on the Telegram instant messaging service and identified the phone numbers of 15 million Iranian users, the largest known breach of the encrypted communications system.
Полученная в результате атаки информация может использоваться для деанонимизации пользователей и определения их территориального местоположения, что на руку спецслужбам, которые работают в интересах государства. Получив в свое распоряжение код активации, атакующие могут добавить к аккаунту жертвы свое устройство и получить доступ к переписке. В то же время, такой тип атаки не касается сообщений, которые были отправлены в режиме секретного чата, поскольку они не хранятся в облаке и доступны только с того устройства, которое инициировало безопасное подключение.
Telegram критикуется security-экспертами не только за вышеупомянутое уязвимое место, но и за закрытость протокола шифрования MTProto для открытого аудита. Кроме этого, в отличие от WhatsApp или iMessage, Telegram не использует E2EE по умолчанию, что также может использоваться как изъян в безопасности, поскольку, как правило, пользователи используют стандартные настройки использования мессенджера, не переключаясь в режим защищенного чата.
Комментарии (52)
pda0
02.08.2016 18:04+4А какая отсюда мораль? sms-код для ряда операций, вроде добавления нового устройства надо принимать только вместе с паролем пользователя.
bustEXZ
03.08.2016 08:36Лично я считаю, что использование кодов типа GoogleAuth более безопасны. Не вижу возможности перехватить такой код. Как раз замечаю такую тенденцию отказа от СМС в пользу таких паролей
dmitry_dvm
02.08.2016 22:18+1>Кроме этого, в отличие от WhatsApp или iMessage, Telegram не использует E2EE
Шифрование в вацапе надежное, потому что вацап об этом в каждом вацаповском чатике написано? Ну-ну.
akaluth
03.08.2016 07:22а) Что мешает проверить «зарегистрированность» номеров в других мессенджерах?
б) Двухфакторка в телеграме есть весьма давно и нет ни одной причины её не включать
iNickname
03.08.2016 07:37+3Анонимность и водить свой номер *facepalm.jpg*
До сих пор не пользуюсь. Чем он лучше месенджеров в Торе? Ничем кроме свистелок и перделок.akaluth
03.08.2016 08:08+1А кто-то говорит про анонимность?
weirded
03.08.2016 08:57Анонимность — хорошее дополнение к приватности, в нашем дивном новом мире.
akaluth
03.08.2016 11:58Хорошее, но тот же сигнал и ватсапп ничуть не более анонимные чем телеграм
weirded
03.08.2016 14:24+1
nikitasius
03.08.2016 14:37Как правильно сегодня заметили на канале (тема дискуссии фейл пашаграмма)
[13:19:38] []Sull[]: people werent born understanding how technology works on the inside
[13:19:44] []Sull[]: everyone is at a different level of understanding
[13:20:06] []Sull[]: they think just making a new gmail is anonymous
[13:20:13] []Sull[]: they dont understand all the things tracking them
[13:20:28] []Sull[]: just like with everything else is life… it needs education
Так что пока жизнь не обяжет, они не зашевелятся использовать анонимные средста коммуникации в дополнение к своим приватным аспектам жизни.
З.Ы, к сожалению хабр режет юникод из ников.
bukovki
03.08.2016 10:32+2Заметил, что многие путают понятия анонимность (неизвестность автора сообщения) и приватность (переписка доступна только участникам переписки). И приписывают мессенджерам, подобным Telegram то, что они не заявляют.
akaluth
03.08.2016 11:56+1О том и речь, лично я не помню, чтобы телеграмовцы где-то заявляли об анонимности, да и фичи вроде отправки контакт-листа на сервер прямо противоположны этому.
m08pvv
03.08.2016 09:23Отличная альтернатива скайпу (который на андроиде представляет из себя кусок непонятной субстанции, жрущей батарею и CPU) для простых людей. Можно, конечно, пересаживать людей на jabber или ещё чего, но не со всеми выходит.
IT_SECURITY
03.08.2016 09:56Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.
Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти (возможно, одного конкретного сотрудника, возможно, по просьбе извне) без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома. If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck.
terziele
03.08.2016 10:31На мой взгляд, это очень глупо со стороны гражданских активистов вестись на пиар-компанию Телеграмма, с его очевидными уязвимостями(про которые говорится не раз и не два), а не пользоваться, например, Jabber+OTR или Tor'ом, в конце-то концов. Все-таки не свистоперделки и модное оформление обеспечивают безопасность.
Использовать Телеграм как некий мессенджер или как «отличную альтернативу скайпу» еще бог с ним, но не для серьезных переговоров же.
TimsTims
03.08.2016 10:43> это очень глупо
Когда вся страна использует один и тот же мессенжер, то ты хочешь или не хочешь, а тоже будешь в нём сидеть, хотя бы просто чтобы иметь возможность общаться.
> со стороны гражданских активистов вестись на пиар-компанию Телеграмма
Опять-же, возможно те, кто реально опасается таких случаев использует секретные чаты? В таком случае, они не пострадали.terziele
03.08.2016 11:02+1Так одно дело в нем сидеть и общаться и другое обсуждать там «гражданско-активистские дела».
По своему опыту могу сказать, что из общей массы гражданских активистов разных мастей лишь незначительный процент из них действительно запаривается по секретным чатам, шифрованию данных и прочему. Подавляющая масса же их может(и так и делает) обсуждать свои дела даже не то чтобы в телеграме, а просто в контактике или фейсбуке каком.
begin2move
03.08.2016 10:31Эм, «хакерам удалось раскрыть информацию по более чем 15 млн. номеров телефонов пользователей мессенджера», и при чем здесь телеграм, или я чего-то не понимаю? То, что операторы выдают направо-налево номера телефонов, это не проблемы мессенджера. А чтобы никто не получил доступ к переписке, используйте двухфакторную аутентификацию, в чём проблема?
borisdenis
03.08.2016 10:32Пора для активации использовать сразу несколько средств, например мобильный + сообщение в аккаунт соц сети, не ввел данные из обеих — активация не пройдена.
nikitasius
03.08.2016 12:22Надо вообще отменить регистрации.
Берем пример с tox. Локально сделали файлик, прописали пачку нод в клиенте, подключились и пользуйтесь, обменивайтесь картинками, музыкой, фильмами, софтом, просто чатитесь.
Если нужны пуши, мобильный трафик, плакать на канал #tox-dev и в github.
Если у декабре 2015го траффик ноды за сутки был 2-2.5Гб, сейчас 5.5-6Гб. И теперь 55 нод вместо 20.
irony_iron
03.08.2016 12:35Это мне кажется, или этот текст действительно пытается без технических аргументов вложить мне мысль о том, что телеграм не стоит того чтобы им пользоваться? Хорошая попытка, товарищ.
nikitasius
03.08.2016 12:54-1Любая система, в котором требуется регистрация не считается анонимной.
Пашинграм
- в телеграмме рега на телефон (симка или покупается в переходе или легально) —
0баллов - коннекты на сервера телеграмма, а не в DHT сеть (можно использовать прокси и tor, если последний пропустит на порт) —
0баллов - вся архитектура на серверах паши —
-1балл
итого:-1балл
Токс
- реги нету —
1балл - коннекты к нодам в DHT сети —
1балл - архитектура в DHT сети (именно поэтому там нет чатов с 0 пользователей) —
1балл
Итого: —3балла
terziele
03.08.2016 14:41Кстати, как там Токс поживает? Последний раз, когда его пробовал, он был еще достаточно сырой и неуклюжий, что ли.
Rasifiel
03.08.2016 15:10Удобство использования и нормальные клиенты для подавляющего большинства гораздо важнее. Ну и наличие людей с кем можно общаться и их поиск.
nikitasius
03.08.2016 17:33Rasifiel
03.08.2016 18:12А с чего вы решили, что анонимность использования ужасно важна для этих людей? Вы серъезно рассчитываете, что обычные люди будут страдать и грызть кактус ради этой самой анонимности?
nikitasius
04.08.2016 10:44Мне вообще нет дела до остальных людей. Я лишь показал на красную таблетку.
neomedved
04.08.2016 11:19Если вам нет дела до остальных людей, то для чего вам вообще мессенджер? :)
terziele
04.08.2016 10:45Анонимность и безопасность крайне важна для все тех же гражданских активистов, про которых, по сути, и идет речь в статье, так как именно они попадут под раздачу из-за атаки и своей возможной промашки с информационной безопасностью. Обычных людей сейчас хоть и тоже интересует анонимность и шифрование, но скорей для просто сохранения своей личной жизни и информации о ней. Поэтому «обычным» грызть кактус хоть и нужно, но не так сильно. Правда, я все равно не понимаю, в чем «кактус» у того же джаббера с OTR, по моему опыту этот кактус заключается лишь в лени его установить.
Rasifiel
04.08.2016 16:04У джаббера плохо с пушами, плохо с поиском нужных контактов, плохо с мобильными клиентами, плохо с синхронизацией при многих клиентах. Использовать джаббер это действительно грызть кактус в сравнении с телеграмом для большинства сценариев использования.
terziele
05.08.2016 12:24+1Не знаю, не знаю. Мне из всех этих пунктов только мобильные клиенты действительно показались «кактусами». Но это все, разумеется, чисто субъективные вещи.
akaluth
04.08.2016 07:33Честно, лично для меня все эти три балла с легкостью перевешиваются тремя фичами телеграма:
1. Реально удобные клиенты под все нужные мне платформы
2. Молниеносные пуши
3. Нормальная синхронизация истории и использование нескольких устройств одновременно
Для моих сценариев использования (вечерком поговорить с коллегами в общем чате, да позадавать вопросов в конфе про рельсы) меня телеграм устраивает на все 130%, если мне понадобится анонимность — тогда уже будет смысл искать что-то такое, даже принося в жертву удобство использования, но все остальное время бороться с приколами распределенных систем а-ля Tox я причин не вижу.ded_kulibin
04.08.2016 14:59Полностью согласен.
Если чист перед законом, то лучше пользоваться тем, что удобно, а не то, что типа «анонимно».
irony_iron
05.08.2016 12:10- вся архитектура на серверах паши — -1 балл
Я слышал что можно свой локальный сервер поднять, не правильно слышал?irony_iron
05.08.2016 12:38Неправильно слышал:
Our architecture does not support federation yet. Telegram is a unified cloud service, so creating forks where two users might end up on two different Telegram clouds is unacceptable. To enable you to run your own Telegram server while retaining both speed and security is a task in itself. At the moment, we are undecided on whether or not Telegram should go in this direction.
- в телеграмме рега на телефон (симка или покупается в переходе или легально) —
yaapelsinko
03.08.2016 23:46Не наговаривайте на супер-безопасный мессенджер, который спасёт нас всех от цензуры и кровавой гебни.
Reeze
Может быть, уже пора сделать регистрацию без привязки к мобильному?
Иногда самое простое решение является верным.
openGSM
И предлагать пользователю на входе в приложение способ регистрации. Как, например, у protonmail.
nikitasius
Tox, tox& tox
serf
tox пока что не годен к использованию, там многолетняя проблема — контакты становятся оффлайн и их статус перестает обновляться, помогает только перезапуск или кнопка reconnect в клиенте.
nikitasius
используйте в клиенте те ноды, которые онлайн, не будет траблов с коннектом в целом.
Я сижу на qtox и toxic на сервере — проблем нет.
serf
Проблем с коннектом нет, но контакты которые на самом деле онлайн становятся оффлайн. Разработчики спустя несколько лет все таки признали проблему в ядре (соединение не восстанавливает если оно по любым причинам было оборвано на продолжительное время), но пока не починили.
IGHOR
Другого способа защиты от флуда созданием фейковых аккаунтов кроме привязки к мобильному пока не нашли, так что вряд ли отвяжут.
А вот заставить всех пароль установить как дополнительную защиту было бы простым решением.