Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
поставить нормальный пароль на разблокировку экрана,
поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
поставить блокировку на «немедленно» после ухода в сон
Это всегда будет новый чат, не старый.
Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).
Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.
Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.
Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.
ну нет, все же нет,
если СМС — то легко украсть содержимое вашей переписки,
а тут можно лишь угнать аккаунт и писать вашим контактам от вашего имени, но прошлую вашу переписку атакующий не получит
Если атакующему содействует ваш мобильный оператор (как это и произошло недавно в России) — то угон СМС превращается в задачу тривиальную.
Если бы не было ни одного известного случая, да, можно было бы гадать и спорить,
но прецеденты есть, и их немало
Конечно, по ссылке об этом всём с рисунками.
Я сам на днях делал всё это, «угонял» аккаунты, писал контактам, смотрел кому что видно.
Выглядит оно так (контакт жертвы угнанного аккаунта получает сообщение от имени якобы жертвы, но пишет атакующй):
И юзеры, как правило, или просто игнорируют, или «принимают» новый ключ без проверки
оба фактора относятся к разным типам (что я знаю, что у меня есть, кто я есть), если бы тут всё работало, то это была бы настоящая двухфакторная авторизация
Совсем не нужен дубль вашей симки. Нужны любым образом добытые данные из SMS, отправленного на ваш номер.
Например, при содействии вашего мобильного оператора,
или без такового — https://habrahabr.ru/company/pt/blog/283052/
Все так, но «защищённый» мессенджер должен обезопасить пользователя от таких атак.
Как аналогия — можно сделать холодильник, который будет перегорать при малейшем перепаде напряжения, а потом говорить — ну как же, это не мы виноваты, это вот ваша электросеть плохая.
Есть вещи, от которых мессенджер не может защитить юзера (малвари на устройстве например), но от такого — может и должен
Signal угоняется точно так же, как и WhatsApp с Телеграмом, там пароль только на приложение можно установить, не на аккаунт, там нет никакого повторного подтверждения личности
более того, когда ваш аккаунт в Signal угнан он вам ещё и не сообщает внятно об этом: вы себе заходите, смотрите свои чаты, а когда пытаетесь отправить сообщение — ошибка, при чем такая же, как когда проблемы с сетью.
поставить нормальный пароль на разблокировку экрана,
поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
поставить блокировку на «немедленно» после ухода в сон
Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).
Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.
Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.
В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.
Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.
там увидите все залогиненные устройства и можете вылогинить
А отправленные и полученные сообщения в Signal, WhatsApp и Telegram secret chat — зашифрованы «из конца в конец».
Собственно, поэтому мы и говорим о такой категории как «защищённые мессенджеры».
Как раз вчера посетила меня светлая мысль — что, вот, хороший вариант — это «задержка, чтобы аккаунт нельзя было сбросить сразу»,
Поддерживаю)))
Thanks but I don't think we're going to do this.
:)
если СМС — то легко украсть содержимое вашей переписки,
а тут можно лишь угнать аккаунт и писать вашим контактам от вашего имени, но прошлую вашу переписку атакующий не получит
Если бы не было ни одного известного случая, да, можно было бы гадать и спорить,
но прецеденты есть, и их немало
Они прекрасно знают что у них как работает
Я сам на днях делал всё это, «угонял» аккаунты, писал контактам, смотрел кому что видно.
Выглядит оно так (контакт жертвы угнанного аккаунта получает сообщение от имени якобы жертвы, но пишет атакующй):
И юзеры, как правило, или просто игнорируют, или «принимают» новый ключ без проверки
Например, при содействии вашего мобильного оператора,
или без такового — https://habrahabr.ru/company/pt/blog/283052/
Как аналогия — можно сделать холодильник, который будет перегорать при малейшем перепаде напряжения, а потом говорить — ну как же, это не мы виноваты, это вот ваша электросеть плохая.
Есть вещи, от которых мессенджер не может защитить юзера (малвари на устройстве например), но от такого — может и должен
еще один отправлю завтра
более того, когда ваш аккаунт в Signal угнан он вам ещё и не сообщает внятно об этом: вы себе заходите, смотрите свои чаты, а когда пытаетесь отправить сообщение — ошибка, при чем такая же, как когда проблемы с сетью.
надо думать как решить без ущерба безопасности
может быть, номер телефона может быть как опция для удобства с адресной книгой, но не делать из него фактор аутентификации, причем единственный?