Обнаружен способ деанонимизации пользователей Telegram

Discussion in 'Мировые новости. Обсуждения.' started by user100, 9 Aug 2018.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,497
    Likes Received:
    16,632
    Reputations:
    373
    Обнаружен способ деанонимизации пользователей Telegram.

    Российские специалисты разработали ПО для получения номера телефона пользователя Telegram по его юзернейму.

    Отныне сотрудники правоохранительных органов и спецслужб в России смогут получить номер телефона любого пользователя Telegram по его юзернейму. С помощью телефонного номера правоохранители смогут узнать личность пользователя у оператора связи.

    Как сообщают «Известия», специалисты Центра исследований легитимности и политического протеста обнаружили в API популярного мессенджера уязвимость, позволяющую деанонимизировать пользователей. Эксперты даже разработали специальное ПО под названием «Криптоскан» для определения номера телефона по имени пользователя, указанному при регистрации учетной записи.

    Как именно работает «Криптоскан», специалисты не сообщают. Известно, что ПО отправляет мессенджеру запрос с именем пользователя и получает ответ с ID, номером телефона, именем и фамилией.

    Журналисты решили проверить работу «Криптоскана», запросив данные одного из редакторов. Номер телефона действительно оказался верным, а имя и фамилия нет. Однако пользователи Telegram зачастую пользуются псевдонимами, поэтому имена могут не совпадать. Тем не менее, раскрыть личность пользователя правоохранители могут по одному лишь номеру телефона.

    По словам представителей Центра исследований легитимности и политического протеста, они уже получили запросы на деанонимизацию от МВД и ФСБ. Предполагается, что «Криптоскан» поможет правоохранителям в поимке преступников.
    ------------------
    https://www.securitylab.ru/news/494963.php
    9.8.18


     
    _________________________
    Payer likes this.
  2. indomix

    indomix Member

    Joined:
    8 Jul 2012
    Messages:
    17
    Likes Received:
    7
    Reputations:
    0
    НУ ХЗ, кто то расчитывает на анонимность в TG? Обычно те, кому она нужна - польузются жабой и т.п.)
     
  3. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    92
    Likes Received:
    71
    Reputations:
    3
    Любые сервис, софт, услуга, доступ, etc где вяжется моб.номер - по умолчанию не анонимен. Это изначально было понятно. А найти и реализовать уязвимость\раскрытие чуствительной инфы, всего лишь дело времени.
    Сама новость вполне может являться фэйком\вбросом. Т.к. ни первоначальный источник, ни "автор" <<криптоскана>> :D никакого доверия не внушают.
     
    CyberTro1n, Payer and indomix like this.
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,497
    Likes Received:
    16,632
    Reputations:
    373
    Аффторы анонимных каналов в ТГ, особенно политических ;)
    Думается, некоторые с них поднапряглись с новости:)
     
    _________________________
    CyberTro1n, indomix and panic.ker like this.
  5. indomix

    indomix Member

    Joined:
    8 Jul 2012
    Messages:
    17
    Likes Received:
    7
    Reputations:
    0
    Ну если авторы анонимных каналов в TG сделали эти самые каналы на свою симку, то им надо с разбегу головой об стену XD
     
  6. indomix

    indomix Member

    Joined:
    8 Jul 2012
    Messages:
    17
    Likes Received:
    7
    Reputations:
    0
    Мой субъектив - TG прогрессивный мессенджер, который пытается делать чот новое и это получается. Но причем тут анонимность - мне не понятно было еще со старта проекта, до хайпОвых новостей о блокировке и наплыва школоло)Ну мессенджер как мессендежер - да, лучше чем WA или Viber))) Очень удобная платформа для бизнеса - каналы, быстрая передача больших файлов,бОты и т.п.
    Больше честн сказать напрягла вся эт кампания с блокировками + скорость упала)
     
    user100 likes this.
  7. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,497
    Likes Received:
    16,632
    Reputations:
    373
    По личному вопросу: бывший партнёр Дурова — о возможности узнать номер телефона пользователя Telegram по его юзернейму.

    Telegram не является анонимным средством коммуникации, заявил бывший партнёр Павла Дурова, экс-заместитель технического директора «ВКонтакте» Антон Розенберг. По его словам, при определённых условиях заинтересованное лицо или служба могут получить полный список телефонных номеров пользователей. В Telegram Розенберг занимался вопросом сохранения анонимности, он отмечает, что в компании «своя система». Специально для RT эксперт рассказал, действительно ли защита мессенджера столь уязвима, как говорит об этом группа российских программистов.

    Telegram, насколько я знаю, не является анонимным мессенджером и даже не рекламирует себя в таком ключе. Каждый аккаунт привязан к определённому телефонному номеру. Это удобно и для пользователей, и для борьбы со спамом — без кучи сим-карт невозможно зарегистрировать пачку аккаунтов. Подобное использование телефонных номеров уже не позволяет назвать мессенджер анонимным. Однако, в отличие от адреса электронной почты, телефонный номер используется не только для авторизации (входа и восстановления доступа), но и для поиска собеседника, чтобы пользователи могли писать своим контактам из телефонной книжки сообщения в Telegram вместо классических СМС.

    Однако если в WhatsApp связь с телефонным номером прозрачна, то в Telegram система устроена сложнее: можно использовать юзернеймы, а можно обходиться без них. Система построена на применении внутренних уникальных идентификаторов, и номер телефона собеседника пользователям по умолчанию не показывается.

    Это вовсе не означает, что номер телефона, привязанного к вашему аккаунту, невозможно узнать. Если дать приложению доступ к телефонной книжке смартфона, то оно будет отправлять и сохранять её на сервере, а пользователю будут показываться все его контакты, использующие Telegram. Кроме того, все контакты сохраняются на сервере вместе с именами, и при регистрации нового человека всем тем, у кого его номер был в записной книжке, приходит уведомление: «Такой-то такой-то зарегистрировался в Telegram».

    Разумеется, у самого Telegram есть полная информация, у какого аккаунта какой номер телефона. Но я всё же сомневаюсь, что где-то в API (программном интерфейсе приложения. — RT) есть настолько явная уязвимость, позволяющая получить номер телефона напрямую.

    Скорее всего, авторы данной программы использовали особенности работы той функции, которую я упомянул выше, или одного из её аналогов. Раз Telegram позволяет по номеру телефона узнать, есть ли у владельца аккаунт, и получить его идентификатор, то номера можно перебирать, а полученную информацию накапливать. На основе этой информации можно построить таблицу для обратной функции: зная аккаунт, определять номер привязанного телефона из числа подобранных ранее. При этом номеров мобильных телефонов не так много.

    Например, в России номеров вида +7(9xx)-xxx-xx-xx всего один миллиард, а используемых сотовыми операторами блоков на порядок меньше. Количество только кажется большим, но для автоматического перебора это немного. Конечно, с одного аккаунта перебрать столько номеров не получится, поскольку у мессенджера есть ограничения и на размер записной книжки, и на частоту её обновления. Но процесс подбора легко распараллелить, используя тысячи, а то и десятки тысяч аккаунтов одновременно.

    Проблема, собственно говоря, старая. Я начал заниматься ей во время работы в Telegram, но вскоре покинул команду мессенджера. Так как братья Дуровы не поднимали вопрос о передаче этой работы другим сотрудникам, сомневаюсь, что кто-то продолжил начатое.

    Впрочем, если речь о разработке для государства, защититься мессенджеру будет ещё сложнее. Ведь, имея административный ресурс, можно получить полный список телефонных номеров, используемых в Telegram, и дальше подбирать только по нему, сократив перебор до порядка 10 миллионов номеров (такова текущая оценка российской аудитории мессенджера).

    Так что пользователям Telegram определённо не стоит рассчитывать, что их номер телефона никто никогда не узнает. Собственно говоря, то же относится и к переписке в мессенджере — не стоит писать там что-то такое, из-за чего вы можете впоследствии пострадать. И уж тем более не стоит использовать Telegram в противозаконных целях.

    Заявления «мы не выдали ни одному правительству ни байта информации» не означают, что эти правительства ни одного байта не получили.
    ________________________
    https://russian.rt.com/nopolitics/a...taraya-eks-partnyor-durova-ocenil-vozmozhnost
     
    _________________________
    CyberTro1n likes this.
  8. kristinka_sk

    kristinka_sk Member

    Joined:
    6 Aug 2018
    Messages:
    29
    Likes Received:
    7
    Reputations:
    0
    na danniy moment est 2 sposoba
    + pozvonit (esli otvetit to nomer otobrazitsia)
    + kinut ssilku i esli na target_ip est router (to poluchat dostup k nemu)
     
    CyberTro1n likes this.
  9. CyberTro1n

    CyberTro1n Well-Known Member

    Joined:
    20 Feb 2016
    Messages:
    862
    Likes Received:
    647
    Reputations:
    4
    Ням ням) приятно разжевал, приправа без излишеств, состав банален, идеален) классика жанра ;) XD
     
  10. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    217
    Likes Received:
    119
    Reputations:
    13
    Зачем регистрировать мессенджер на свой номер телефона - сие тайна великая есть.
    Что мешает зарегистрировать его на любой удаленный IoT с sim-кой, имеющий дефолтные пароли, и расположенный где-нибудь на Филиппинах ...
     
    CyberTro1n likes this.
  11. CyberTro1n

    CyberTro1n Well-Known Member

    Joined:
    20 Feb 2016
    Messages:
    862
    Likes Received:
    647
    Reputations:
    4
    Эта инфа не многим известна и дойдёт до меньшей единицы. Стечение времени и обстоятельств позволит быть информированым ещё меньшему числу.
    Углубляться дальше в вопрос не вижу смысла т.к. ответы очевидны.