Кстати, могу ошибаться, но, по-моему, вы не вполне правы насчёт номера… Если устройств с рабочей сессией не осталось (удалили приложение, сломался телефон), то восстановить доступ к аккаунту можно только лишь кодом подтверждения на привязанный мобильный номер, то есть он играет свою роль.
Для обычных пользователей, которые используют Телеграмм для повседневного общения с друзьями и коллегами, а не каких-то сомнительных дел, ничего прекрасного в такой схеме нет.
А в том, что старую сессию довольно легко можно завершить из новой скомпрометированной без каких-либо подтверждений, очень хороший потенциал при похищении аккаунта.
Есть чудо-тема от самих разработчиков месенджера, которые реализовали процедуру смены номера ну очень “безопасным” (читай: безобразным) образом, благодаря которой имеет смысл и во всей полноте работает схема фишинга.
Если б нормально было сделано (с возможностью оповещения и отмены операции смены номера в течение некоторого периода), то полностью украсть аккаунт было очень проблематично и вред от фишинга для обычных пользователей стал бы минимальным.
А так узнаёшь о произведённой смене номера уже постфактум, когда тебя вылогинило из приложений, и сделать уже ничего не можешь даже через поддержку, потому что не отвечают.
Для меня, например, не сильно критично, что кто-то прочтёт переписки или увидит подписки, секретов там не храню, но вот “избранное” или какие-то моменты истории терять вместе с аккаунтом немножко грустно.
Да, верно, настоящий QR транслирован через фишинговую страницу, поэтому сесию крадёт посторонний.
Но это полбеды: заметив подозрительную активность, владелец аккаунта рано или поздно мог бы завершить скомпрометированную сессию самостоятельно, однако через некоторое время тихого ожидания этому постороннему становится доступной возможность внезапной смены мобильного номера без ведома владельца аккаунта, что ведёт к краже и полной потере доступа настоящим владельцем.
Обращения в поддержку остаются без ответа, поэтому на неё рассчитывать не приходится…
Похоже, что желаемого эфффекта действительно на данный момент не достигнуто, но хотя бы осведомлённость людей повышается.
Вообще, меня очень удивляет тот факт, что столь серьёзная лазейка, которую весьма легко прикрыть, существует уже много лет и разработчикам до неё как будто и дела нет.
Если поразмышлять на эту тему в конспиративном русле, то замечательный бэкдор получается: делаем недокументированный api-метод, который тихо подменяет мобильный номер для любого аккаунта, вызываем его, незаметно открываем сессию и вуаля, получаем доступ к личным данным, а при необходимости ещё и сам аккаунт можно отобрать. Надеюсь, что это лишь моя фантазия! (:
Насколько понял из разрозненных источников информации, аккаунты в социальных сетях и мессенджерах “угоняют” для их дальнейшей продажи. Кто их покупает и зачем для меня большая загадка…
Но раз этим занимаются, видимо, какой-то профит в такой деятельности всё же есть.
Возможно, вы не обратили внимания, но об этом ещё в спойлере к публикации упомянуто
Более того, существуют лазейки, которые позволяют полностью украсть скомпрометированный аккаунт путём тихой смены мобильного номера без возможности дальнейшего восстановления личных данных и доступа.
И в конце об этом снова же, поскольку является завершающим этапом фишинговой атаки.
При корректной механике смены мобильного номера даже при вводе личных данных на фишинговом ресурсе вероятность незаметного “угона” аккаунта становится минимальной.
В конкретном случае ваш вывод неверный: у меня недавно украли личный телеграмм-аккаунт именно по этой схеме, во многом из-за ошибочной уверенности, что покуда он привязан к реальному мобильному номеру, с ним ничего серьёзного не сможет случиться.
Ну, максимум, кто-то получит доступ к перепискам, но в любой момент есть возможность закрыть скомпрометированную сессию. Но не тут-то было, оказалось, что номер можно поменять втихую и уже позакрывать мои сессии.
То есть присутствует существенное упущение и лазейка в механике смены мобильного номера. По официальным каналам до разработчиков и поддержки у меня достучаться не удалось, поэтому остался вариант лишь с публичной оглаской.
Это информационная публикация и одновременно очередная попытка “достучаться” до разработчиков популярных мессенжеров с уязвимой механикой смены мобильного номера, чтоб наконец пофиксили.
К сожалению, сам нахожусь не особо в теме поиска уязвимостей, поэтому плохо осведомлён о негласных правилах этикета в ней. Скорее, исхожу из позиции продвинутого пользователя, который хочет обратить внимание на проблему, которая существует в сервисе Телеграмм уже продолжительное время, но её всё никак не исправляют.
Если поизучать вопрос чуть подробнее, то окажется, что обычные пользователи уже не первый год сталкиваются с подобными схемами кражи аккаунтов, а поддержка зачастую просто не отвечает на их обращения даже с платной подпиской.
То есть злоумышленники уже(!) массово атакуют пользователей Телеграмм, но сам сервис почему-то не закрывает лазейку.
Маловероятно, потому что после кражи аккаунта без проблем получилось зарегистрировать новый на прежний номер, верификационное sms-сообщение дошло успешно.
где указан адрес, куда можно сообщать об уязвимостях и проблемах с безопасностью
We welcome security experts to audit our system and appreciate any feedback at security@telegram.org.
Конечно, первым делом направил схожее обращение на русском языке по указанному адресу с копией на recovery@telegram.org, но за несколько дней так и не получил никого ответа, даже какой-либо автоматической отписки, что обращение принято на рассмотрение.
Где-то в описании bug bounty program ещё встречал, что сообщения о технических уязвимостях следует оформлять на английском с полным описанием окружения и прочими деталями. Но тут такой случай, как заметили в комментарии чуть выше, что уязвимость лежит больше в социальной плоскости и механике привязки мобильных номеров.
Причём, мне не нужны никакие материальные поощерения за констатацию факта наличия этой лазейки, которой уже давно злоупотребляют. Просто восстановить доступ к аккаунту было бы наилучшей наградой, так что мне больше практически ничего и не оставалось, как опубликовать этот материал тут.
И да, для меня загадка, почему в Телеграмм не предусмотрены оповещение пользователя о смене номера и возможность отмены этой операции.
Честно, если бы в Телеграмм нормально работала поддержка пользователей и можно было вернуть аккаунт на прежний номер в короткие сроки, то в связке номера и аккаунта всё же был бы смысл…
А так, конечно, создаётся только видимость некой безопасности, которая делает пользователя излишне беспечным, как и произошло в моём случае.
У меня даже возникла мысль купить премиум-доступ, чтобы поддержка мне всё же ответила, но изчив комментарии людей в сети, понял, что другие теряют аккаунты по схожей схеме даже с премиум-подпиской и никакого приоритета с поддержкой она не даёт.
Меня бы устроила регистрация по никнейму и паролю с подтверждением на почтовый ящик, как было в старые добрые времена. Однако привязка номера телефона к социальным аккаунтам - это, скорее, на мой взгляд, требование безопасности от государственных структур, чтобы в случае чего было проще отыскать адресата по официальному запросу.
Конечно, получить сим-карту можно и без документов или на подставных лиц, но для этого нужно заморочиться. Большинство же людей привязывают аккаунты на официальные личные номера.
Вы правы, но эта публикация во многом для гласности, чтобы у других людей не возникало ложной уверенности в почти непогрешимой безопасности мессенджера, какая была у меня.
Извините, нажимал кнопку “Одобрить комментарий”, но она чуть подвисла и случайно клацнул на минус, а отменить уже нельзя. Может, кто-нибудь другой плюсанёт.
Да, это действительно подозрительный флажок, но именно поэтому мне и стало любопытно узнать, с какой целью рассылают подобные сообщения.
Поскольку сообщение пришло в другой социальной сети, то как-то и мысли не возникло, что могут украть доступ именно к телеграм-аккаунту, тем более что у меня была уверенность, что в мессенжере нельзя вот так просто взять и отвязать мобильный номер без явных уведомлений.
Кстати, могу ошибаться, но, по-моему, вы не вполне правы насчёт номера… Если устройств с рабочей сессией не осталось (удалили приложение, сломался телефон), то восстановить доступ к аккаунту можно только лишь кодом подтверждения на привязанный мобильный номер, то есть он играет свою роль.
Для обычных пользователей, которые используют Телеграмм для повседневного общения с друзьями и коллегами, а не каких-то сомнительных дел, ничего прекрасного в такой схеме нет.
А в том, что старую сессию довольно легко можно завершить из новой скомпрометированной без каких-либо подтверждений, очень хороший потенциал при похищении аккаунта.
Есть чудо-тема от самих разработчиков месенджера, которые реализовали процедуру смены номера ну очень “безопасным” (читай: безобразным) образом, благодаря которой имеет смысл и во всей полноте работает схема фишинга.
Если б нормально было сделано (с возможностью оповещения и отмены операции смены номера в течение некоторого периода), то полностью украсть аккаунт было очень проблематично и вред от фишинга для обычных пользователей стал бы минимальным.
А так узнаёшь о произведённой смене номера уже постфактум, когда тебя вылогинило из приложений, и сделать уже ничего не можешь даже через поддержку, потому что не отвечают.
Для меня, например, не сильно критично, что кто-то прочтёт переписки или увидит подписки, секретов там не храню, но вот “избранное” или какие-то моменты истории терять вместе с аккаунтом немножко грустно.
Да, верно, настоящий QR транслирован через фишинговую страницу, поэтому сесию крадёт посторонний.
Но это полбеды: заметив подозрительную активность, владелец аккаунта рано или поздно мог бы завершить скомпрометированную сессию самостоятельно, однако через некоторое время тихого ожидания этому постороннему становится доступной возможность внезапной смены мобильного номера без ведома владельца аккаунта, что ведёт к краже и полной потере доступа настоящим владельцем.
Обращения в поддержку остаются без ответа, поэтому на неё рассчитывать не приходится…
Похоже, что желаемого эфффекта действительно на данный момент не достигнуто, но хотя бы осведомлённость людей повышается.
Вообще, меня очень удивляет тот факт, что столь серьёзная лазейка, которую весьма легко прикрыть, существует уже много лет и разработчикам до неё как будто и дела нет.
Если поразмышлять на эту тему в конспиративном русле, то замечательный бэкдор получается: делаем недокументированный api-метод, который тихо подменяет мобильный номер для любого аккаунта, вызываем его, незаметно открываем сессию и вуаля, получаем доступ к личным данным, а при необходимости ещё и сам аккаунт можно отобрать. Надеюсь, что это лишь моя фантазия! (:
Насколько понял из разрозненных источников информации, аккаунты в социальных сетях и мессенджерах “угоняют” для их дальнейшей продажи. Кто их покупает и зачем для меня большая загадка…
Но раз этим занимаются, видимо, какой-то профит в такой деятельности всё же есть.
Возможно, вы не обратили внимания, но об этом ещё в спойлере к публикации упомянуто
И в конце об этом снова же, поскольку является завершающим этапом фишинговой атаки.
При корректной механике смены мобильного номера даже при вводе личных данных на фишинговом ресурсе вероятность незаметного “угона” аккаунта становится минимальной.
Вы не уловили суть публикации. Архитектурный факап присутствует в механике смены мобильного номера.
В конкретном случае ваш вывод неверный: у меня недавно украли личный телеграмм-аккаунт именно по этой схеме, во многом из-за ошибочной уверенности, что покуда он привязан к реальному мобильному номеру, с ним ничего серьёзного не сможет случиться.
Ну, максимум, кто-то получит доступ к перепискам, но в любой момент есть возможность закрыть скомпрометированную сессию. Но не тут-то было, оказалось, что номер можно поменять втихую и уже позакрывать мои сессии.
То есть присутствует существенное упущение и лазейка в механике смены мобильного номера. По официальным каналам до разработчиков и поддержки у меня достучаться не удалось, поэтому остался вариант лишь с публичной оглаской.
Это информационная публикация и одновременно очередная попытка “достучаться” до разработчиков популярных мессенжеров с уязвимой механикой смены мобильного номера, чтоб наконец пофиксили.
Большое спасибо, что поделились информацией.
К сожалению, сам нахожусь не особо в теме поиска уязвимостей, поэтому плохо осведомлён о негласных правилах этикета в ней. Скорее, исхожу из позиции продвинутого пользователя, который хочет обратить внимание на проблему, которая существует в сервисе Телеграмм уже продолжительное время, но её всё никак не исправляют.
Если поизучать вопрос чуть подробнее, то окажется, что обычные пользователи уже не первый год сталкиваются с подобными схемами кражи аккаунтов, а поддержка зачастую просто не отвечает на их обращения даже с платной подпиской.
То есть злоумышленники уже(!) массово атакуют пользователей Телеграмм, но сам сервис почему-то не закрывает лазейку.
Маловероятно, потому что после кражи аккаунта без проблем получилось зарегистрировать новый на прежний номер, верификационное sms-сообщение дошло успешно.
Справедливости ради замечу, что на странице https://telegram.org/faq есть вопрос
где указан адрес, куда можно сообщать об уязвимостях и проблемах с безопасностью
Конечно, первым делом направил схожее обращение на русском языке по указанному адресу с копией на recovery@telegram.org, но за несколько дней так и не получил никого ответа, даже какой-либо автоматической отписки, что обращение принято на рассмотрение.
Где-то в описании bug bounty program ещё встречал, что сообщения о технических уязвимостях следует оформлять на английском с полным описанием окружения и прочими деталями. Но тут такой случай, как заметили в комментарии чуть выше, что уязвимость лежит больше в социальной плоскости и механике привязки мобильных номеров.
Причём, мне не нужны никакие материальные поощерения за констатацию факта наличия этой лазейки, которой уже давно злоупотребляют. Просто восстановить доступ к аккаунту было бы наилучшей наградой, так что мне больше практически ничего и не оставалось, как опубликовать этот материал тут.
И да, для меня загадка, почему в Телеграмм не предусмотрены оповещение пользователя о смене номера и возможность отмены этой операции.
Честно, если бы в Телеграмм нормально работала поддержка пользователей и можно было вернуть аккаунт на прежний номер в короткие сроки, то в связке номера и аккаунта всё же был бы смысл…
А так, конечно, создаётся только видимость некой безопасности, которая делает пользователя излишне беспечным, как и произошло в моём случае.
У меня даже возникла мысль купить премиум-доступ, чтобы поддержка мне всё же ответила, но изчив комментарии людей в сети, понял, что другие теряют аккаунты по схожей схеме даже с премиум-подпиской и никакого приоритета с поддержкой она не даёт.
Живу в Беларуси, на данный момент телеграмм тут у нас работает без впн.
Меня бы устроила регистрация по никнейму и паролю с подтверждением на почтовый ящик, как было в старые добрые времена. Однако привязка номера телефона к социальным аккаунтам - это, скорее, на мой взгляд, требование безопасности от государственных структур, чтобы в случае чего было проще отыскать адресата по официальному запросу.
Конечно, получить сим-карту можно и без документов или на подставных лиц, но для этого нужно заморочиться. Большинство же людей привязывают аккаунты на официальные личные номера.
В целом так, но в жизни всякое бывает, поэтому возможность смены номера хорошо бы реализовать как-то более безопасно и мягко.
Вы правы, но эта публикация во многом для гласности, чтобы у других людей не возникало ложной уверенности в почти непогрешимой безопасности мессенджера, какая была у меня.
Извините, нажимал кнопку “Одобрить комментарий”, но она чуть подвисла и случайно клацнул на минус, а отменить уже нельзя. Может, кто-нибудь другой плюсанёт.
Да, это действительно подозрительный флажок, но именно поэтому мне и стало любопытно узнать, с какой целью рассылают подобные сообщения.
Поскольку сообщение пришло в другой социальной сети, то как-то и мысли не возникло, что могут украть доступ именно к телеграм-аккаунту, тем более что у меня была уверенность, что в мессенжере нельзя вот так просто взять и отвязать мобильный номер без явных уведомлений.