На прошлой неделе протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности. Это вызвало настоящую панику, потому что Telegram является основным мессенджером для координации протестов. Раньше считалось, что он сохраняет конфиденциальность.
Сначала представители Telegram объясняли, что никакого бага нет: всё так специально задумано. Но под влиянием общественности дыру всё-таки решили закрыть.
Пока что о закрытии уязвимости не объявлено официально, но на официальной платформе переводов для интерфейса Telegram замечена специфическая строка для перевода. В интерфейс добавлена опция PrivacyPhoneNumberSettings.CustomDisabledHelp со следующим описанием: Users who add your number to their contacts will see it on Telegram only if they are your contacts («При добавлении вашего номера в свои контакты пользователь увидит вас в Telegram только в том случае, если он присутствует в вашей телефонной книге»).
Эта настройка эффективно закрывает вышеописанный эксплоит с утечкой конфиденциальных данных и защищает пользователя от деанонимизации таким способом.
Пока же функция не активирована — и в Telegram номера пользователей не скрываются от посторонних. Установка «Никто» по-прежнему позволяет посторонним узнать ваш номер телефона, если они добавят его в свою телефонную книгу.
В данный момент не совсем понятно, будет ли новая настройка включена по умолчанию. Но если принять во внимание бизнес-интересы компании Telegram, это маловероятно. Компании выгодно стимулировать рост социального графа вирусным способом, то есть через контакт-листы и телефонные книги пользователей. Это главная причина, почему Telegram максимально широко транслирует номера телефонов и другие конфиденциальные данные.
Хотя на словах компания заботится о конфиденциальности, но такие действия показывают, что истинные интересы фирмы в другом, а некоторые пользователи, которые верят основателю компании, могут заблуждаться.
В течение двух ближайших месяцев бесплатный мессенджер Telegram станет базой для платформы TON и криптовалюты Gram, под которую собрано 1,7 миллиарда долларов по программе предварительной продажи. Для успеха криптовалюты было очень важно набрать критическую массу пользователей. Telegram пытался привлечь максимально широкую аудиторию вирусным способом, в чём и преуспел.
«Криптоскан»
Эксперты давно предупреждали, что нельзя доверять мессенджеру, который требует обязательного указания номера телефона при регистрации. На самом деле ещё в августе 2018 года стало известно о российской программе «Криптоскан», которая перебором 1 миллиарда номеров осуществляет деанонимизацию пользователей Telegram в России, Украине и Казахстане.
О существовании программы «Криптоскан» в августе 2018 года первой сообщила государственная газета «Известия». Она написала, что софт разработали программисты «Центра исследований легитимности и политического протеста»: «Мы проанализировали API (часть программного интерфейса приложения) и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей», — рассказал руководитель центра Евгений Венедиктов.
По словам Евгения Венедиктова, Центр исследований легитимности и политического протеста уже начал искать пользователей по запросу МВД и ФСБ.
Активисты в Гонконге более подробно описали этапы для деанонимизации пользователей: 1) скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку, 2) добавляется в группу протестующих, 3) Telegram сообщает, какие пользователи из контакт-листа уже есть в группе, 4) скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера.
Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров. Возможно, подобные методы уже давно используют российские спецслужбы.
Источник: habr.com
.jpg)
