Telega: как «удобный клиент Telegram» превратили в MITM с цензурой и ИИ-надзирателем

[ionicman]

А разве кто-то не понимал сразу, что это помойка?

[mukca]

Внезапно нет.
Реклама что работает "быстрее, выше, сильнее " и на фоне "устаревающей" инфраструктуры телеграма народ ставил и радовался, даже кто-то помню огорчался ну вот, не успел зарегистрироваться, они регистрацию выключили, но вот есть лайфхак....
И не забываем про "мне скрывать нечего" и "и так все всё знают"
Ксожалению вот такой уровень цифровой гигиены и грамотности у населения в свеом большинстве.

[HellQwer]

А где эта реклама была? Телега в лучшем гугл плея, то есть, наверняка, реклама была и обширная, но я её нигде не видел.

[K0styan]

В Телеграме же. В каналах, вот та, что после последнего поста идёт.

[K0styan]

Тут есть два больших вопроса:

1. Я же правильно понимаю: если даже я использую официальный клиент, но мой собеседник - вот это поделие, наш разговор можно считать скомпрометированым?

2. Есть ли способ автоматически определить клиент собеседника? Хотя бы теоретический, с надеждой на реализацию?

[PKLab]

1) Да скомпрометированы

[vesper-bot]

1. да

2. не должно быть, в любом случае определение клиента идет по инфе от клиента, а она в подобных сценариях считается недоверенной. можно пробовать по набору поддерживаемых фич отследить, что телега а что кобыла, но во-первых фичатрекинг штука непостоянная, потому как и оф-клиент и целевые поделия могут отдавать неполный (урезанный, а то и вообще кривой) набор фич, а ещё прокси на стороне телеги может отдавать фингерпринт как у оф-клиента, а юзер будет сидеть в телеге. часть инфы должна быть доступна в виде сессий пользователя (но только для него, и сессии от телеги должны выделяться, если уж там прокси), но собеседнику дотуда не достать. вариантов обхода толком никаких, кроме социальной инженерии - обосрать его в лицо, если он таки пользуется телегой и тебе стало это известно, и обосрать сам клиент для тех, кто ищет варианты обхода блокировки телеграма, чтобы боялись даже пальцем потрогать это поделие, чтобы не испортить себе репутацию.

[mukca]

по 2 пункту говорят есть бот в телеге, но как он определяет и определяет вообще, не понятно.

[KernelSpoofer]

1. По логике все верно, его сообщения и чаты просматриваются. Логически можно понять, что и ваш с ним тоже.

2. Только если он позвонит? Других способов лично я пока не видел

[Shaman_RSHU]

Все по быстрому прочитали исследование https://dontusetelega.lol/analysis и для самопиара теперь копипастят радные части оттуда. Вот ещё: https://habr.com/ru/news/1013846/

Ресурс заблокировал РКН, возможно авторов разыскивают, другие наживаются на результатах исследований своей кармой.

[house2008]

другие наживаются на результатах исследований своей кармой.

Пусть об этом пишут лучше каждый день. Я могу на хабр не заходить несколько дней. Статей из вашего комментария нет в "Читают сейчас", если бы не эта повторная статья я бы возможно об этом даже не узнал.

[Squoworode]

Ресурс заблокировал РКН, возможно авторов разыскивают

Ну вот, кстати, в вашем же "Вот ещё" в комментах пишут, что это не их целенаправленно заблокировал РКН, а они просто сидят на заблокированном РКН CloudFlare с заблокированным РКН ECH

[domix32]

На днях на хабре ещё и пользователь появился, который этот же анализ скопипастил пару часов назад.

[diomas]

Оценить, какие именно переписки велись через Telega, и считать их потенциально известными третьим лицам.

Точнее так: тем, у кого есть твоя сессия (сервера Телеги), доступна вся история всех твоих переписок в телеграме вне зависимости от того, какой клиент использовался раньше

[mukca]

и не только переписка, но и твой телефонный номер

[domix32]

А откуда дровишки про zeus и cerberus?

[Kenya-West]

Что-то странно, ага. Обычно такие предположения должны подкрепляться фактами, не знаю, логами какими-нибудь, эндпоинтами и т. д. @CIOlogiaгде пруфы, Билли?

P. S. К остальному вопросов нет - Telega с самого начала надо воспринимать однозначно, как описано в статье. Просто к новым доводам вопрос.

UPD: о чо ношол. Вопрос снят

[HellQwer]

Почему сам телеграмм ничего не может сделать, в частности, выкинуть из Гугл плея? Название похожее и является сокращением активно используемым в РФ, клиент к вашему приложению используемый для изменения вашего пути и обработки сообщения. При том, что очевидно желание создать клиент разной степени зловредности у всяких мошенников. Вспомним и платные смс и подписки на сервисы, не только шпионаж за данными. А ещё вспомним шуточные вирусы 2000х, добавляющие маты в переписку. То есть риски наверняка должны были прорабатываться, это не черный лебедь.