Цитата:
Сообщение от Miss Content
Когда Дуров пиарит свой мессенджер Telegram, то любит акцентировать внимание на его безопасности. На днях выяснилось, что эта самая дуровская безопасность не дотягивает даже до уровня любительских поделок. Telegram прослушивают давно, а схема атаки поражает своей простотой.
Читателей не проведешь и они давно высказывали сомнения относительно того, что мессенджер, требующий номер телефона, может быть защищенным. Потом это подтвердили и эксперты по компьютерной безопасности. Не прошло и месяца, как пользователей стали ломать. А на днях вскрылась и схема проведения атаки. Настолько простая, что и писать особо нечего:
Представитель спецслужб звонит сотовому оператору и дает поручение на время заблокировать прием СМС определенным номером.
Затем атакующий использует клонированную SIM-карту для подключения к сотовой сети от имени абонента. Кстати, чтобы клонировать карту физический доступ к ней не требуется. Стандарт GSM использует допотопное шифрование и никак не проверяет аутентичность.
Далее сотрудник устанавливает штатное дуровское приложение, а его поддельный сотовый номер распознается серверами Телеграм и в ответ высылается код подтверждения.
Код подтверждения используется для входа в аккаунт и полного доступа к архиву личной переписки. Да-да, переписка "защищенного" мессенджера хранится на сторонних серверах и доступна для загрузки.
PROFIT!
Сообщения о пострадавших уже есть.
|
Автор данного текста нихуя не понимаюший мудак за 5 копеек.
1. Никто не взламывал Телеграм - спиздили код доступа
2. Никто не клонировал симку, ибо если отключена функция приёма СМС у оператора, то похуй сколько клонированных симок, СМС не дойдёт не до одной. СМС сняли СОРМом это и ежу понятно.
3. Опозиционохуи сами виноваты, что не поставили пароль, а довольствовались дефолтной привязкой к номеру ОНЛИ, на это обратил внимание Павел дав ответ на пост Максима Катца всего за 3 часа. Что говорит о том, что он не только пиздит, но и мешки ворочает - не только пиарит, но и фидбэк отслеживает.
4. Никто никогда не скрывал, что история обычных чатов весит на его серверах, иначе бы ты хуй смог юзать его синхронно с мобилы, планшета и компа.
5. А теперь более детально про доступы:
- на телефоне содержимое зашифровано, если ты не выставишь галочку сохранять медиафайлы в галерее автоматом, то они хранятся в зашифрованном виде в папке телеграма по дефолту.
- чтобы получить доступ к истории на сервере нужен код с СМС, а если быть более расторопным и использовать двухфакторную аутентификацию, то ещё и пароль. Даже если у тебя спиздят (подглядят) оба источника, то это значит, что лох ты, а не продукт.
- если ты используешь секретные чаты, то доступ к серверу тебе похуй, так как они там не хранятся, они хранятся только ровно на 2 девайсах, тех людей, которые участвуют в этом чате, хранятся они так же в зашифрованном виде и отсутствует способ сохранения пересланного внутри такого чата куда-то в память.
- если ты боишься, что твой телефон может кто-то взять погонять, и мимолётом покопаться в телеграме - на эпп телеграма можно ставить отдельный пинкод, а так же таймер неактивности, после которого нужно вводить пинкод повторно (так же можно вне таймера нажатием одной иконки заблокировать телеграм для этого пинкода, если вдруг даёте телефон прям вот вот написав что-то в телеграме)
- если ты боишься, что придут злые дядьки и будут отбивать тебе почки выпытывая пинкод - используй таймер автоматического уничтожения мессаг, там продумано всё до такой степени, что если таймер не более минуты, а тебе прислали 100 фоток, то они не исчезнут, когда ты дойдёшь до второго десятка, они скрыты изначально, и таймер запустится только тогда, когда ты тыкнешь на размазанную фотку, для просмотра и у тебя будет минута на её изучение, после чего она исчезнет.
- если ты параноишь, что используя секретный чат, твой собеседник всё равно сможет сделать скриншоты - специально для тебя эпп оповещает в случае, если собеседник сделал скрин, и ты в праве сам решать общаться тебе далее с мудаком или нет. Скриншот фоток при таймере в минуту и менее сделать не выйдет, так как для их просмотра надо держать палец зажатым, если отпустить, они опять будут замыленые.
Телеграм самый ахуенный продукт по безопасной коммуникации, продуманный до мелочей человеком, который тебя обыграет в шахматы 100 из 99 раз. А то, что ты физически не в состоянии защитить свой девайс, это не его недодумки в архитектуре, это твои прорехи в понимание работы данного тебе инструмента.
Единственное, что туда стоит добавить, это фэйковый пинкод, который уничтожит все секретные чаты при вводе. А ещё лучше, чтобы он уничтожал секретки + те, что отмечены в настройках этого пинкода, при этом пинкод должен не палиться, то есть открывать (давать доступ) телеграм, но уже после отчистки.
Цитата:
Сообщение от Nebrila
суть как раз в том что бы оценить себя в милиард баксов при отсутствии монетазации
скрипт который генерит липовых пользователей в базу пишется на коленке а потом со всяких новостных и прочих сайтов призываем уже нормальных пользователей у кого есть нормальный доступ к alexa могут посмотреть https://telegram.org/ |
Не он оценил, а гугл оценил, не 100М юзеров, а 100М скаченных на ведройд с гугл плэй маркета эппов. Ведройд тот ещё собиратель инфы и думаю в состояние ребята с гугла глянуть на скольки девайсах он запущен.
А переходы на сайт так уж и вообще не показатель, ведь сайтом не пользуются для чатов. Вы полную чушь написали короче.
Цитата:
Сообщение от tara
А мне кажется Дуров монетизирует телеграм путем продажи доступов правительствам или одному - двум правительствам ).
Прожект ведь не создавался с благородными целями? )
|
Вы видимо мало следите за тенденциями одиозных личностей в нашем мире в последнее время, которые бьются не за бабло. Исходя из интервью Дурова, сейчас он всё оплачивает сам с денег, что получил за продажу доли ВК. Далее не удивлюсь, если он получит гранты от ЕС или ЕФФ, а на худой конец создаст фонд, куда народ накидает нужную сумму, для поддержания работы телеграма безвозмездно, как это делает википедия.
Линейный вид
