Comments 46
Очевидно, что Телега плотно использует инфраструктуру ВК. Нет ли у кого-то инсайда - это внутренняя разработка для каких-то целей или какая-то "партнёрка"?
Что дает подмена сервера и ключа шифрования?
Как было описано в начале статьи, шифрование RSA между клиентом и сервером Telegram используется при рукопожатии (handshake) для генерации нового ключа шифрования, с помощью которого затем шифруется весь трафик.
То есть весь трафик по итогу полностью идёт через DC2 игнорируя остальные? Иначе как оно MITMится если там вроде ещё проверка хэшей идти должна.
Очень странно выглядит то, что аккаунт автора создан именно под эту конкретную статью пару дней назад, из-за чего у меня есть сомнения в правдивости всего или части написанного выше.
Копипаста моего сегодняшнего комментария к https://habr.com/ru/articles/1014118:
Все по быстрому прочитали исследование https://dontusetelega.lol/analysis и для самопиара теперь копипастят радные части оттуда. Вот ещё: https://habr.com/ru/news/1013846/
Первоисточник заблокировал РКН, возможно авторов разыскивают, другие наживаются на результатах исследований своей кармой.
Если ты делаешь такие расследования в России и не являешься анонимным, у тебя два выбора - тебя садят на бутылку, или если причиняешь ещё больше проблем тебе оформляют Prigozhin Special ™️
Если сомневаешься в качестве/правдивости информации - весь этот ресерч написан так, чтобы его мог повторить каждый желающий. Все инструменты и скрипты мы не просто так прикрепили.
Может он переживает за свою приватность? Не хочет чтобы MITM ему что-то открутил.
Отличная статья! Отличная работа! Спасибо ) очередные шакалы разоблачены)
еп... даже страшно стало, как я сам этого не заметил, спасибо тем кто писал статью
Открою вам великий секрет: любой клиент любого чатика имеет доступ ко всей переписке! Потому что он её (внезапно) показывает на экране! Для реализации такой технологии нужен curl и внешний ftp сервер.
К слову, MITM — это когда злоумышленники подсматривают за общением между клиентом и сервером. То что вы тут описали — это подмена сервера, что вполне разумно с точки зрения разработчика, в связи с тем, что родные сервера часто недоступны.
Ну и пользователи, что отваживаются на использование ПО из недоверенных источников рискуют своей приватностью. Лучше так не делать.
del
А есть ли сейчас какие-нибудь доступные способы проверки, через какой клиент сидит твой собеседник? Или вообще никак?
Здравый смысл подсказывает, что это не нужно. Просто исходите из того, что на той стороне может быть любой клиент. Сегодня один, завтра другой, на компе -- третий.
Умозрительный пример. У вашего собеседника самый настоящий клиент телеграма работает на серверах VK, а подключается он туда через RDP. Как вы можете проверить, что это не так?
Даже не могу понять, это глупость или наивность? Почему они в открытом виде положили дополнительный паблик Кей? Почему не зашифровать его сначала как-то, а при старте приложения дешифровать?
Или я что то в разработке приложух под мобильные устройства не понимаю?
Тоже задумался. Там можно и ссылку спрятать и ключ генерировать при необходимости а не хранить все в открытом виде.
Но думаю просто думали прокатит.
Если бы я делал злодейское приложение, я бы при разработке плохого функционала включал паранойу уровня графен.
А тут с помощью декомпеоытора, питон скрипта и кузькиной матери спалили форк у которого несколько миллионов пользователей.
Но не буду подсказывать.
Тоже задумался. Там можно и ссылку услать, и коды генерировать при необходимости.
У меня вопрос. Вот этот механизм внедрения mitm, если я зайду в раздел авторизованные устройства в настройках - будет ли как-то подозрительно выглядеть сессия через телегу?
"а затем сервер, с помощью соответствующего приватного ключа их расшифровывает"
Получается, сервера Телеграмма точно так же читают всю переписку пользователей, которая в обычных чатах, а не секретных.
И в чем тогда разница глобально?
В том, что у владельцев оригинальных серверов телеграма нет прямой и очевидной заинтересованности в том, чтобы читать вашу переписку. А у заинтересованных ее читать - нет прямой и очевидной возможности к оригинальным серверам получить доступ.
У вас есть какие-то доказательства, что у владельцев серверов телеграмма нет обязательств перед третьими лицами не сливать им переписку?
Особенно после истории с заключением под стражу Дурова прямо с самолёта во Франции?
Или это просто ваше личное мнение? Что с одной стороны все злые и подлые, а с другой - эльфы и джентльмены?
Существует определённая разница между просьбой "слей мне переписку Васи Иванова" и "давай сюда вообще всю переписку, я быстренько её прогляжу на предмет ключевых слов".
Третьи лица, заинтересованные в аресте Дурова (который, кстати, уже давно не под арестом) - это далеко не те лица, которых стоит опасаться среднему российскому пользователю телеграма.
Сливать инфу надо тому товарищу майору которому до тебя дальше тянуться.
Ну раз вы признаете, что вашу инфу сливают далёкому майору (не в зоне ру), то зачем тогда лицемерие?
Вы и я лишь товар в руках корпораций. И телеграм и телега -- продукт одного уровня прозрачности и нет тут никаких хороших и плохих.
Да никакого лицемерия. Государство и так может получить доступ к моей переписке. Но для этого ему надо будет немного напрячься. Тут же, к твоей переписке имеет доступ неопределенный круг лиц. Когда серваки этой телеги ломанут, вся она утечет куда не надо.
А наши майоры еще могут использовать "длящееся преступление" и за мемчик оставленный в дружеском чатике 5 лет назад можно получить статью.
Лучше быть товаром, чем звездочкой на погонах т-ща майора
И в чем тогда разница глобально?
В том, что в Telegram есть возможность включить оконечное шифрование с использованием международного доверенного сертификата. В этом случае Паша не сможет прочесть ваши сообщения.
Чисто теоретически, если собрать ванильный клиент тг, но подставить в него дц телеги, может ли это обойти блокировки? Или телега не будет проксировать трафик если не сможет его расшифровать?
В России будет работать только такой Телеграм и Дуров не отозовет его API-ключик.
Будет как Скайп красного цвета в Китае.
Из плюсов - может даже в White-список попадёт, если все скачаете и установите и дадите ему доступ как MAXу.
Честно говоря, не понял всю эту возню с митмом. А зачем? (Только не подумайте, что я подсказываю, тут явно люди знали что делают).
Вариант раз: прокладка между сетевой либой и гуем. Данные уже (ещё) расшифрованы, перехватывай, сливай, модерируй, зачем митм?
Вариант два: свои прокси, благо у ВК есть куда их присунуть по всей стране. Не MTProxy, а обычный аналог какого-нибудь древнего SOCKS5. Т.е. телеграмские либы стоят непосредственно на этих прокси-серверах и коннектятся к телеграмму уже сам прокси-сервер. А вот между клиентом и прокси бегает обычный наколеночный REST или RPC, который элементарно перехватывается. Слишком умным исследователям объясняется, что это такой аналог впн для обхода блокировок.
Это их новый сайт https://telega.me/ ? Это та самая Телега или это кто-то другой?
Интересно, а настоящий телеграм может/будет вставлять палки в колеса телеге?
Вот когда выходит довольно очевидный и резонансный материал, мне всегда забавляет реакция некоторых комментариев. Есть исследование, гипотезы, выводы, пруфы, возможность для проверки и подтверждения, или наоборот. При этом без глобальных фантазий, каких-то резких призывов и всего такого. Но нет, за несколько часов набегают они:
Автор сомнительный / новорег / бот
Автор глупый / наивный / все не так понял и т.д.
Да бэкдор, уяза, потенциальный вредонос, но что здесь такого плохого?
А какие доказательства?
И чем дольше висит статья, тем больше становится список. Причем реально проверят и опровергать никто из них не будет, но главное накинуть в комментариях и разводить демагогию и срач в комментах. А, ну и базово сразу минусить карму за пропаганду, хотя в чем она тут одному минусующему известно.
Полный технический анализ MITM в клиенте Telega