Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.
После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.
Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.
Словом, состоянием на 18 августа 2016 года атака на защищённые двухфакторной авторизацией аккаунты снова успешно работает: атакующий, у которого есть доступ к SMS пользователя, может «переустановить» аккаунт, и для этого ему не нужно знать пароль:
На скриншоте видим результат того, что у собеседника угнали аккаунт, защищённый двухфакторной авторизацией, и написали сообщения от его имени.
То есть, если что, двухфакторная авторизация в Telegram на данный момент не работает.
Или снова — если эту возможность действительно тогда в июне отключали, или всё ещё — если никто этого и не делал.
Комментарии (17)
Kondra007
30.08.2016 21:03Уточню: по-прежнему осуществлен "сброс" аккаунта с потерей обычных и секретных чатов, так?
g_i
31.08.2016 10:43Да, так, вся переписка из всех чатов потеряется;
Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.Kondra007
31.08.2016 10:44Да, это крайне неприятный момент. Хотя факт создания нового обычного чата уже должен быть подозрительным для собеседника.
g_i
31.08.2016 10:49Новый чат совсем не должен быть обычным, атакующий может создать какой угодно чат.
В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.Kondra007
31.08.2016 10:53А что произойдет, если собеседник напишет "жертве" (под личностью которого скрывается атакующий) в тот обычный чат, что был до угона? Будет ли автоматически создан новый? Или сообщения будут получать одну галку и "зависать"?
Скажем так, как выглядит ситуация со стороны собеседников? (по сути, как определить, что у товарища угнали акк, ДО истечения 12 часов и замены контакта жертвы на DELETED)
g_i
31.08.2016 10:59Это всегда будет новый чат, не старый.
Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).
Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.
Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.Kondra007
31.08.2016 11:02Создание нового обычного чата, полагаю, уже достаточно для беспокойства (невозможно удалить обычный, "облачный" чат, только очистить историю на своей стороне). Ибо эта ситуация проявляется только при переустановке учетной записи.
А секретный чат, конечно же, надо проверять лично или хотя бы убедиться, что он пришел кому надо.
stardust1
01.09.2016 00:17Не совсем по теме, но не даёт покоя такой вопрос: У меня емайл в гугле привязан к двухфакторной авторизации. Inbox на смарте пароль не спрашивает, что даёт легкий доступ к нему преступникам. Предположим, если я потеряю свой смарт или его у меня украдут, то как я потом могу быстро получить доступ к аккаунту, чтобы сменить пароль и удалить номер украденного смарта для авторизации? Знаю, что там можно занести запасной номер, но у меня его нет.
melt
01.09.2016 09:13+1Полагаю, вам помогут резервные коды (10 штук) в настройках безопасности аккаунта
Скриншоты где и как
g_i
01.09.2016 14:30+1Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
поставить нормальный пароль на разблокировку экрана,
поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
поставить блокировку на «немедленно» после ухода в сон
nett00n
01.09.2016 15:12Простите, но где тут второй фактор?
СМС-код или код, отправленный на другое устройство — это первый фактор, вторым фактором для телеграм — является пароль. Ваш заголовок вводит в заблуждение.
tsifra
01.09.2016 23:57Неделю или две назад отправил в службу поддержки вопрос, но ответа не получил. Я на cyanogenmod через f-droid поставил telegram. И жил припеваючи много месяцев, пока не съездил в отпуск. Теперь у меня иногда сообщения в шифрованых чатах оказываются прочтенными раньше чем я их открою. Это вроде end-to-end из чего следует что проблема должна быть у меня на устройстве. Так же у меня каким-то образом исчезла та самая двухфакторная авторизация. Для снятия которой, насколько я понимаю, нужно знать как минимум пароль, как максимум иметь доступ к почтовому ящику. Вообщем я в растерянности, служба поддержки молчит минимум неделю. Аналогичных ситуаций описанны в паутине найти не смог. Никто не сталкивался?
SannX
У телеграма не 2FA, а 2SV. Отсюда многие беды.
dartraiden
Уместно будет напомнить о разнице между ними.
Конечно, если у атакующего есть доступ к разблокированному телефону жертвы, то не спасёт ни код, полученный в SMS, ни код, сгенерированный приложением на телефоне. Но, способов получить доступ к SMS больше (перехватить по пути, переоформить сим-карту).
eps
А фактор всё так же один — возможность получать SMS на определённый номер телефона. А возможность эта, увы, есть у неопределённого круга лиц.
Система, где это — единственный фактор, не будет безопасной.