Двухфакторная авторизация в Telegram всё ещё/снова не работает

    В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).

    Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.

    После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.

    Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.

    Словом, состоянием на 18 августа 2016 года атака на защищённые двухфакторной авторизацией аккаунты снова успешно работает: атакующий, у которого есть доступ к SMS пользователя, может «переустановить» аккаунт, и для этого ему не нужно знать пароль:

    image

    На скриншоте видим результат того, что у собеседника угнали аккаунт, защищённый двухфакторной авторизацией, и написали сообщения от его имени.

    То есть, если что, двухфакторная авторизация в Telegram на данный момент не работает.
    Или снова — если эту возможность действительно тогда в июне отключали, или всё ещё — если никто этого и не делал.
    Поделиться публикацией
    Комментарии 17
      0
      У телеграма не 2FA, а 2SV. Отсюда многие беды.
        0
        Уместно будет напомнить о разнице между ними.
        Конечно, если у атакующего есть доступ к разблокированному телефону жертвы, то не спасёт ни код, полученный в SMS, ни код, сгенерированный приложением на телефоне. Но, способов получить доступ к SMS больше (перехватить по пути, переоформить сим-карту).
          0

          А фактор всё так же один — возможность получать SMS на определённый номер телефона. А возможность эта, увы, есть у неопределённого круга лиц.


          Система, где это — единственный фактор, не будет безопасной.

          +15
          Слишком маленький скриншот. Ничего не разглядеть.
            +1
            Ещё чуть уменьшил
            0

            Уточню: по-прежнему осуществлен "сброс" аккаунта с потерей обычных и секретных чатов, так?

              0
              Да, так, вся переписка из всех чатов потеряется;

              Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.
                0

                Да, это крайне неприятный момент. Хотя факт создания нового обычного чата уже должен быть подозрительным для собеседника.

                  0
                  Новый чат совсем не должен быть обычным, атакующий может создать какой угодно чат.

                  В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.
                    0

                    А что произойдет, если собеседник напишет "жертве" (под личностью которого скрывается атакующий) в тот обычный чат, что был до угона? Будет ли автоматически создан новый? Или сообщения будут получать одну галку и "зависать"?


                    Скажем так, как выглядит ситуация со стороны собеседников? (по сути, как определить, что у товарища угнали акк, ДО истечения 12 часов и замены контакта жертвы на DELETED)

                      0
                      Это всегда будет новый чат, не старый.
                      Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).

                      Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.

                      Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.
                        0

                        Создание нового обычного чата, полагаю, уже достаточно для беспокойства (невозможно удалить обычный, "облачный" чат, только очистить историю на своей стороне). Ибо эта ситуация проявляется только при переустановке учетной записи.


                        А секретный чат, конечно же, надо проверять лично или хотя бы убедиться, что он пришел кому надо.

              0
              Не совсем по теме, но не даёт покоя такой вопрос: У меня емайл в гугле привязан к двухфакторной авторизации. Inbox на смарте пароль не спрашивает, что даёт легкий доступ к нему преступникам. Предположим, если я потеряю свой смарт или его у меня украдут, то как я потом могу быстро получить доступ к аккаунту, чтобы сменить пароль и удалить номер украденного смарта для авторизации? Знаю, что там можно занести запасной номер, но у меня его нет.
                +1
                Полагаю, вам помогут резервные коды (10 штук) в настройках безопасности аккаунта
                Скриншоты где и как
                image
                image
                  +1
                  Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
                  поставить нормальный пароль на разблокировку экрана,
                  поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
                  поставить блокировку на «немедленно» после ухода в сон
                  0
                  Простите, но где тут второй фактор?
                  СМС-код или код, отправленный на другое устройство — это первый фактор, вторым фактором для телеграм — является пароль. Ваш заголовок вводит в заблуждение.
                    0
                    Неделю или две назад отправил в службу поддержки вопрос, но ответа не получил. Я на cyanogenmod через f-droid поставил telegram. И жил припеваючи много месяцев, пока не съездил в отпуск. Теперь у меня иногда сообщения в шифрованых чатах оказываются прочтенными раньше чем я их открою. Это вроде end-to-end из чего следует что проблема должна быть у меня на устройстве. Так же у меня каким-то образом исчезла та самая двухфакторная авторизация. Для снятия которой, насколько я понимаю, нужно знать как минимум пароль, как максимум иметь доступ к почтовому ящику. Вообщем я в растерянности, служба поддержки молчит минимум неделю. Аналогичных ситуаций описанны в паутине найти не смог. Никто не сталкивался?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое