Комментарии 150
Видимо, Павел считает, что если ватсап имеет доступ к медиа, то он всё сливает налево.
Хотя, такую дырку, наверное, таки заметили бы.
Вот и заметили: https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
А сколько народу уже успело ей попользоваться...
Вот цитата из первоисточника:
WhatsApp doesn’t only fail to protect your WhatsApp messages – this app is being consistently used as a Trojan horse to spy on your non-WhatsApp photos and messages.
Да, неаккуратно как-то. Надеюсь, телеграм и на андроиде хранит сообщения в песочнице, недоступной вотсаппу и прочим бургеркингам?
А вот фотографии, с другой стороны… На современных версиях iOS и Android типичный мессенджер, в котором юзер отправлял фотографию и давал необходимые для этого права, может втихаря закачать на свой сервер все остальные фотографии с устройства?
Спасибо. Вполне в духе Apple был бы отдельный API, который даёт доступ не к хранилищу, а только к одному изображению, которое пользователь выбирает в системном диалоге, и недопуск в App Store тех, кто пользуется более широким доступом без нужды — но, значит, в этом случае даже они не проявили подобной заботы о пользователе.
Хм. Кажется, я за свой короткий заход на iOS-разработку как-то неверно понял, что такое хорошо и что такое плохо. Мне показалось, что использование по возможности стандартных элементов UI во всех приложениях — как раз один из основных принципов яблочного дизайна.
Ну, вы же, наверняка, как и все, «нежно любите» приложения, у которых диалоги работы с файлами «особенные», с другой компановкой, кнопками, поведением, чужеродным дизайном, и ещё и с меньшим функционалом, чем у системных.
На Андроид тоже в песочницы других приложений (а переписка хранится в песочнице, а не на SD-карте и т.п.) доступа нет. Вот к фоткам (и если какое приложение хранит данные на SD) – есть.
На SD у Андроида, кстати, есть гранулярный доступ. И чужие данные так просто не прочитать — нужно убедить пользователя дать доступ ко всей карте.
АФАИК, гранулярный доступ к SD появился то ли в 9 то ли в 10 версии, в предыдущих вполне хватало согласия на доступ к хоронилищу (к которому и SD относится) и декларации write access в манифесте.
То есть попросив, получите только свои папочки.
На самом деле считаю это идиотизмом, т.к. внешняя карточка логично остается единственным местом шаринга, и по умолчанию с ней давно уже никто не оперирует для сохранения чувствительных данных.
Сказал человек, мессенджер которого, как минимум
- Не даёт регистрироваться без привязки к телефону.
- Не является опенсорсным (можно ли считать опенсорсом эти огрызки?)
- Разрешает "безопасные" чаты только на мобильниках.
Уже эти, самые очевидные вещи, заставляют сомневаться в безопасности телеграма и забыть о какой-либо приватности.
Не даёт регистрироваться без привязки к телефону.
Есть еще более классная фича чем привязка к номеру телефона.
Когда пользователь добавляет себе в контакты нового человека ему предлагают завести вновь Имя и Фамилию (опционально). То есть если я даже зарегистрируюсь под именем Иван Иванов — мои близкие добавят меня с правильным именем Коля, Николай. А сотрудники на работе у которых в контактах уже есть 10 Николаев — заведут мое реальное Имя и Фамилию.
Я был немного в шоке от этого когда наконец зарегался в Телеге.
Вам даже не нужно регистрироваться в Telegram, чтобы он получил эти данные. Имея доступ к контактам ваших знакомых, Telegram соберёт достаточно много информации: ваш email, место работы, домашний адрес, реальное имя. Это относится к любому сервису, который имеет доступ а спискам контактов ваших знакомых (Google, iCloud, WhatsApp, Skype и т.п.). Поэтому, если вам нужна анонимность, то вам нужно скрывать свои данные не только от собственной электроники, но и от своих знакомых.
Только у него все плохо со всем остальным.
Какие "огрызки"? Для проверки надёжности секретных чатов исходников клиентов вполне достаточно.
можно ли считать опенсорсом эти огрызки?Справедливости ради, эти «огрызки» — уже больше, чем предлагают остальные популярные мессенджеры (т.е. ничего). Ни в одном другом коммерческом мессенджере нет возможности использовать кастомные клиенты, потому что протоколы закрыты.
github.com/signalapp/Signal-Server
Это можно счиать опенсорсом, в отличие от Телеграма, где совершенно неизвестно, что происходит на серверной части. Шифруется ли там что и как долго все хранится.
Хотя справедливости ради не факт, что то, что открыто у Сигнала бежит на их серверах. Так же их протокол одобрен многими экспертами по безопастности. Этот же протокол в WhatsApp-е был внедрен, но хз в каком он там виде работает.
Телефон конечно это на сегодня самая надежная варианта по регистрации и унификации. Но ты пираф! Мнемоника наше все
Но вот все эти заявления о супер конфиденциальности и защищенности, кмк просто пиар. Ну, может, в нем действительно дыр меньше.
Тем не менее, если кому — то достаточно влиятельному ты понадобишься — обязательно достанут и в телеге.
И да. Почему тогда обязательно мобилу регистрировать?
В чужом глазу соломинку видим...
Допустим, FaceBook сливает данные пользователей WhatsApp всем, кто платит. Что мешает Telegram делать тоже самое? Почему я должен верить Дурову? Какой достоверный сигнал (термин из теории игр) он подаёт?
На самом деле, даже в случае России и Ирана это ничего не значит. Все построено на предположениях и догадках
А ни у кого не возникает вопрос почему все другие случаи запрета Роскомнадзор озвучивал путем циркуляра за подписью своего чиновника. А для Телеги потребовался пятничный суд с анонсами в центральной прессе. Или тот момент что там где Телегу действительно хо если забанить там ее забанили?
Вообще я не защищаю телеграмм и не говорю что им нужно доверять, но я повторю то, что я уже писал в подобной теме: я просто не верю что если бы у силовиков был доступ к данным телеграмма, то они ни разу на этом бы не попались. Все остальные их действия просто кричат о том насколько мало там профессионалов. Так что как минимум можно считать что телеграмм не сливает ничего российским спецслужбам.
Все остальные их действия просто кричат о том насколько мало там профессионалов.
Мне кажется, Вы здесь совершаете логическую ошибку. Если Вы обладаете информацией о провалах спецслужб, то вполне можете оценить, насколько много там непрофессионалов. Но сколько там профессионалов (тех, кто не прокалывается) — по общедоступной информации не можете никак.
Объективности ради, слив данных спецслужбам условной Швейцарии или Сингапура, обычно значительно меньше заботит юзеров из Китая, Ирана и России.
А вероятный слив коммерческим структурам, так вообще немногих заботит.
Самый худший вариант, если тлг — «троянский конь» российских спецслужб.
В это верить не хочется.
Таким образом Дуров отреагировал на сообщения о новой уязвимости в WhatsApp.
Ого, а как великий и святой Дуров реагировал на уязвимости в Телеграме, которые позволяли получать доступ к миллионам аккаунтов до августа 2018 года? Опубликовали информацию, сообщили о возможных жертвах и времени исправления? Или тихо, как мышки, закрыли и не написали нигде, даже не предупредив тех, к чьим аккаунтам так могли получить доступ?
Хотя надо отдать должное гению, я не встречал публикаций, где исследователи прямо говорили об этой проблеме Телеграма, так что сработало (на сегодняшний день).
Надеюсь, что в относительно близкой перспективе я смогу публиковать информацию о таком классе уязвимостей так, чтобы другие компании с ними не пострадали. Хочу думать, что это случится в ближайшие несколько месяцев. А пока можете относится к моим словам о проблемах так же, как и к заявлениям Дурова о безопасности и приватности данных на серверах. Плюс, если хочется, можно спросить у поддержки или у кого-то ещё из команды, была ли возможность утечки данных пользователей в указанное время, даже интересно, что они ответят, если ответят.
о таком классе уязвимостей так, чтобы другие компании с ними не пострадалиТо есть уязвимость не столько в самом телеграмме, сколько в платформе, или общепринятом приёме программирования, используемся во многих компаниях? И претензия конечно-же именно к телеграмму, что именно он не увидел то, что не увидел никто.
Посылаю вам предварительный виртуальный респект, но 0-day на то и 0-day, что все гении мира массово их незаметили.
Дуров на фото прям как ассасин, только что расправившийся с жертвой. Одним взглядом. :)
А начало заголовка статьи классное, верно отражающее суть: «Троянский конь» Дуров
А ещё лучше на P2P и через Tor, например, на Ricochet или Briar.
Если платно — все равно товар.
Adblock продает вас рекламодателям.
это то, что сразу вспомнилось.
А когда я ставлю линукс, кто и кому меня продаёт?(Не всякий Linux бесплатен; free speaking != free beer.) Свободную программу её автор разрабатывает для себя. Используя Linux, Вы не причиняете расходов разработчику (разовая загрузка файла, в общем-то, мелочь); используют конкретный дистрибутив десять тысяч человек или десять миллионов — финансовой разницы для разработчика нет. В то же время расходы сетевого сервиса (в частности, мессенджера) напрямую зависят от количества и активности пользователей; вспоминается фраза из фильма: кто оплачивает весь этот банкет?
А на что переходить? Telegram? Дак он как бы забанен (хахаха), оперативно им пользоваться неудобно. Viber ещё не лучше. Вк только если, но я не хочу в друзьях всех подряд.
Не знаю как Wire, а Signal вроде требует номер для регистрации.
между безопасностью и удобствомОсновные правила никогда не стареют, для публичных персон (вспоминал по памяти):
0) Всегда считай, что тебя прослушивают:
1) Ничего «такого» не говорить по телефону.
2) Ничего «такого» (компрометирующего, а тем более запрещенного) не держать где-либо.
3) На личных встречах оставлять телефоны в другой комнате.
4) Иметь разные телефоны — один «официальный» зареганный на тебя. Второй — на другого человека для интернета и соц.сетей (которые опять-же зареганы на васю пупкина), и с него никаких контактов с людьми из контактов 1го телефона.
Ну то есть ничего про «используйте именно этот мессенжер, а не этот», т.к. вопрос ставится изначально так, что потенциально любая программа в телефоне может за тобой шпионить, а потому лучше просто не давать ей эту информацию, чем прятать её.
jabber разумеется — vps за 100 руб. — по кучам инструкций в интернете на ubuntu установили openfire а на телефон conversations. И всех делов (ах, да доменное имя ещё нужно) !
Чтобы общаться самому с собой, мне не нужны все эти лишние телодвижения.
Если Вы настолько параноик что ставите jabber на собственном сервере то и друзья у Вас параноики — так что будет с кем общаться в jabber разумеется с шифрованием OMEMO :)
Jabber+OTR
TOX
Matrix
Bitmessage
Так что «шпионское» ПО уже встроено в ваш смартфон по умолчанию.
P. S. Кроме того, вполне возможно, что достаточно рабочая ситуация — вынесли мозг спамом 100 клиентам, но в итоге наскребли несколько кредитов. Профит?
Так не надо использовать прошивки с предустановленным spyware.
1. Идёте к практикующему адвокату.
2. Узнаёте его практику, как получить сообщения из WhatsApp (договорённости там юридически значимы).
3. Получаете процедуру: письмо от российского следователя в Facebook Inc, через неделю — запрошенный кусок переписки. И всё!
То есть, любой следователь в стране 2-3 мира может получить всю вашу переписку.
А теперь попробуйте получить хоть какую-нибудь информацию от Telegram.
теперь попробуйте получить хоть какую-нибудь информацию от Telegram.
Я же не следователь — не получу.
Те кто финансирует бесплатный мессенджер — любой — получат. Иначе зачем деньги тратить? Чтобы школьники в приватных чатах договаривались смыться с информатики и пойти куда там они сейчас ходят?
Они не близки, но у обоих сервисов степень обеспечения безопасности и приватности недостаточна. Если только вы не домохозяйка, которой нечего скрывать. ;-) Но тогда вам любой IM подойдёт.
- Пол
- Приблизительный возраст
- Наличие заболеваний
- Гастрономические предпочтения
- Место работы и проживания
- Средний доход
- Наличие/отсутствие любовницы
- Сексуальную ориентацию
- Религиозные и, возможно, политические взгляды
- Наличие личного транспорта
- Гражданское состояние
- Наличие/отсутствие детей
- Наличие вредных привычек
- Много чего еще
Как говорил не помню кто: «Покажите мне 30 лайков человека, и я расскажу о нем больше, чем он знает о себе сам»
Я знаю только то что Павел Дуров занимается экспериментальным голоданием, ходит во всем черном, хотя ему уже не 17, дружит с арабами, у которых в порядке вещей украсть туристку, и что телега полдня не работала когда остро вставал вопрос о доступе фсб к ней.
Безусловно, это факторы доверия.
Вместо Telegram можно подставить имя любой другой популярной корпорации или компании, и смысл предложения не изменится.
Основные пользователи — наркоманы и педофилы, они мало в чем разбираются
Основные пользователи — такие же гики как тут на хабре.
Безусловно, на это даже сказать нечего.
сделайте другие мессенджеры незаблокированнымиТелеграм умеет работать через прокси.
А вот с прокси — стопроцентно работает.
Нет dll — вам доступны «стоковые секретные чаты».
Например, взять проверенные алгоритмы (особенно прокатит с симметричными) и впихнуть их в dll.
В этом случае секретный чат можно начать только с юзером, у которого есть такая-же dll.
Так-же можно заложить возможность использовать симметричную криптографию (юзеры заранее обменялись ключами). Разумеется, для каждого чата можно использовать отдельную dll и иметь коллекцию таких dll и юзать их одновременно в разных секретных чатах.
Неоднократно замечал, как после переписки в Whatsapp на телефоне, на десктопе в гугле и gmail-e появлялясь реклама, косвенно относящаяся к содержанию переписки.
Я не утверждаю, что телеграм не сливает данные, но пока в этом замечен не был.
А Whatsapp — 100% это делает постоянно и да, наверное пришла пора этого стукача удалить c телефона.
Во-первых идёт полная или частичная деанонимизация за счёт привязки к номеру телефона и последующего сопоставления всех контактов и сообщений/звонков телефона и мессенджера.
Во-вторых, нет уверенности в действительно стойком шифровании. Приведу реальный пример из смежной области, не указывая конкретно, чтобы не затронуть ни чьи интересы. И так, для использования некоего оборудования в отечественных сетях регулятор потребовал установить шифрование ГОСТ вместо AES. Разработчик обеспечил шифрование ГОСТ 256 бит. Но по требованию того-же регулятора пользователю для изменения доступны только 56 бит. Имеем пример 256-битного шифрования, реальная стойкость которого 56 бит, а остальные 200 бит это фиксированная маска.
В третьих, мессенджеры работают через сервер и оставляют там следы сообщений в открытом или закрытом, но легко раскрываемом по маске виде.
Поэтому я одинаково не доверяю любому мессенджеру.
«Троянский конь»: Дуров снова призвал пользователей удалить WhatsApp