В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).

Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.

После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.

Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.

Словом, состоянием на 18 августа 2016 года атака на защищённые двухфакторной авторизацией аккаунты снова успешно работает: атакующий, у которого есть доступ к SMS пользователя, может «переустановить» аккаунт, и для этого ему не нужно знать пароль:

image

На скриншоте видим результат того, что у собеседника угнали аккаунт, защищённый двухфакторной авторизацией, и написали сообщения от его имени.

То есть, если что, двухфакторная авторизация в Telegram на данный момент не работает.
Или снова — если эту возможность действительно тогда в июне отключали, или всё ещё — если никто этого и не делал.
Поделиться с друзьями
-->

Комментарии (17)


  1. SannX
    30.08.2016 19:52

    У телеграма не 2FA, а 2SV. Отсюда многие беды.


    1. dartraiden
      30.08.2016 20:09

      Уместно будет напомнить о разнице между ними.
      Конечно, если у атакующего есть доступ к разблокированному телефону жертвы, то не спасёт ни код, полученный в SMS, ни код, сгенерированный приложением на телефоне. Но, способов получить доступ к SMS больше (перехватить по пути, переоформить сим-карту).


    1. eps
      30.08.2016 22:23

      А фактор всё так же один — возможность получать SMS на определённый номер телефона. А возможность эта, увы, есть у неопределённого круга лиц.


      Система, где это — единственный фактор, не будет безопасной.


  1. alexpp
    30.08.2016 20:45
    +15

    Слишком маленький скриншот. Ничего не разглядеть.


    1. g_i
      31.08.2016 10:48
      +1

      Ещё чуть уменьшил


  1. Kondra007
    30.08.2016 21:03

    Уточню: по-прежнему осуществлен "сброс" аккаунта с потерей обычных и секретных чатов, так?


    1. g_i
      31.08.2016 10:43

      Да, так, вся переписка из всех чатов потеряется;

      Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.


      1. Kondra007
        31.08.2016 10:44

        Да, это крайне неприятный момент. Хотя факт создания нового обычного чата уже должен быть подозрительным для собеседника.


        1. g_i
          31.08.2016 10:49

          Новый чат совсем не должен быть обычным, атакующий может создать какой угодно чат.

          В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.


          1. Kondra007
            31.08.2016 10:53

            А что произойдет, если собеседник напишет "жертве" (под личностью которого скрывается атакующий) в тот обычный чат, что был до угона? Будет ли автоматически создан новый? Или сообщения будут получать одну галку и "зависать"?


            Скажем так, как выглядит ситуация со стороны собеседников? (по сути, как определить, что у товарища угнали акк, ДО истечения 12 часов и замены контакта жертвы на DELETED)


            1. g_i
              31.08.2016 10:59

              Это всегда будет новый чат, не старый.
              Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).

              Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.

              Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.


              1. Kondra007
                31.08.2016 11:02

                Создание нового обычного чата, полагаю, уже достаточно для беспокойства (невозможно удалить обычный, "облачный" чат, только очистить историю на своей стороне). Ибо эта ситуация проявляется только при переустановке учетной записи.


                А секретный чат, конечно же, надо проверять лично или хотя бы убедиться, что он пришел кому надо.


  1. stardust1
    01.09.2016 00:17

    Не совсем по теме, но не даёт покоя такой вопрос: У меня емайл в гугле привязан к двухфакторной авторизации. Inbox на смарте пароль не спрашивает, что даёт легкий доступ к нему преступникам. Предположим, если я потеряю свой смарт или его у меня украдут, то как я потом могу быстро получить доступ к аккаунту, чтобы сменить пароль и удалить номер украденного смарта для авторизации? Знаю, что там можно занести запасной номер, но у меня его нет.


    1. melt
      01.09.2016 09:13
      +1

      Полагаю, вам помогут резервные коды (10 штук) в настройках безопасности аккаунта

      Скриншоты где и как
      image
      image


    1. g_i
      01.09.2016 14:30
      +1

      Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
      поставить нормальный пароль на разблокировку экрана,
      поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
      поставить блокировку на «немедленно» после ухода в сон


  1. nett00n
    01.09.2016 15:12

    Простите, но где тут второй фактор?
    СМС-код или код, отправленный на другое устройство — это первый фактор, вторым фактором для телеграм — является пароль. Ваш заголовок вводит в заблуждение.


  1. tsifra
    01.09.2016 23:57

    Неделю или две назад отправил в службу поддержки вопрос, но ответа не получил. Я на cyanogenmod через f-droid поставил telegram. И жил припеваючи много месяцев, пока не съездил в отпуск. Теперь у меня иногда сообщения в шифрованых чатах оказываются прочтенными раньше чем я их открою. Это вроде end-to-end из чего следует что проблема должна быть у меня на устройстве. Так же у меня каким-то образом исчезла та самая двухфакторная авторизация. Для снятия которой, насколько я понимаю, нужно знать как минимум пароль, как максимум иметь доступ к почтовому ящику. Вообщем я в растерянности, служба поддержки молчит минимум неделю. Аналогичных ситуаций описанны в паутине найти не смог. Никто не сталкивался?