Обращение к разработчикам Telegram: уязвимость тихой смены мобильного номера при краже аккаунта

[AlexandrKuzmin-dev]

Думаю неплохо было бы отправлять смс-подтверждение также и на старый номер, перед сменой.

Но уязвимостью конечно это сложно назвать) По сути сами все права подтвердили. И на будущее советую поставить облачный пароль, для дополнительной защиты.

[Makeman]

Подтвердил только открытие новой сессии, но про внезапную смену номера никто не спрашивал, а надо бы…

[Litemanager_soft]

Да тут вообще в телеграмм зайти нужно помучаться, впн и т.д.

[Makeman]

Живу в Беларуси, на данный момент телеграмм тут у нас работает без впн.

[php_master]

Не уверен, что эта информация точная, но где-то слышал, якобы на территории РФ и Беларуси с целью продвижения Max специально давили регистрацию новых аккаунтов в Telegram за счёт блокировки верификационных СМС. Так что вполне может быть, что при отвязке номера Telegram всё-таки пытался уведомить вас, но СМС так и не дошла.

[jaker]

"мне пришло сообщение от якобы менеджера магазина одежды с предложением о сотрудничестве, стать амбассадором бренда."- а разве это не черная метка, что нажимать на это нельзя?

[Astrowalk]

Да и вообще – сообщение от неизвестного контакта, любое сообщение с голосовухой внутри – поводы для автоматического бана.

[Makeman]

В целом так, но в жизни всякое бывает, поэтому возможность смены номера хорошо бы реализовать как-то более безопасно и мягко.

[griba]

Вот вам пример из жизни, один на миллион. У коллеги в имиграции была проблема с симкой, ходила ногами в местный отдел оператора связи, помочь не смогли. Совершенно случайно через день позвонил добрый сотрудник для решения вопроса, надо было подвердить личность через банк (стандарная процедура здесь), так вот совершенно случайно вместо только кода пришло еще и списание 400 евро. И тут не хватило буквально одного свайпа. Просто попали в нужный момент и контекст.

[Makeman]

Да, это действительно подозрительный флажок, но именно поэтому мне и стало любопытно узнать, с какой целью рассылают подобные сообщения.

Поскольку сообщение пришло в другой социальной сети, то как-то и мысли не возникло, что могут украть доступ именно к телеграм-аккаунту, тем более что у меня была уверенность, что в мессенжере нельзя вот так просто взять и отвязать мобильный номер без явных уведомлений.

[aax]

Смотреть надо в корень проблемы - помесь интернет месседжера и услуг мобильной связи это старый, и сомнительный как технологически так и юридически, костыль от которого давно пора отказатся, а не подпирать его новым патчем-костылем.

[Makeman]

Меня бы устроила регистрация по никнейму и паролю с подтверждением на почтовый ящик, как было в старые добрые времена. Однако привязка номера телефона к социальным аккаунтам - это, скорее, на мой взгляд, требование безопасности от государственных структур, чтобы в случае чего было проще отыскать адресата по официальному запросу.

Конечно, получить сим-карту можно и без документов или на подставных лиц, но для этого нужно заморочиться. Большинство же людей привязывают аккаунты на официальные личные номера.

[aax]

Не совсем так Телеграммм например предлагает купить номера +888 для регистрации. Это вопрос архитектуры актуальной минус 20 лет назад.

Но даже ессли широко закрыть глаза на сомнительную приватность(что например мне не подойдет), то все равно имеем полный кринж технологически - как только сотовая связь легла, ее технологическая ее альтернатива(интернет месседжер) из-за кривой архитектуры тоже легла следом из-за искуственной инфраструкторной зависимости от ОПСОСа(даже с при работе по проводу с десктопа).

То, что индустрия интернет-сервисов в свое время(лет 20 назад) массово выбрала SMS в качестве стандарта для двухфакторной аутентификации (2FA) и авторизации — это историческая ошибка ленивого проектирования. Разработчики просто использовали то, что уже было в кармане у каждого пользователя, вместо создания доступных автономных криптографических решений например TOPT.

Стандарты уже существовали: Алгоритм HOTP (на основе счетчика) был стандартизирован IETF как RFC 4226 в 2005 году, а его развитие TOTP (на основе времени) было описано чуть позже в RFC 6238. То есть 20 лет назад теоретическая база уже была полностью готова.

[Makeman]

Честно, если бы в Телеграмм нормально работала поддержка пользователей и можно было вернуть аккаунт на прежний номер в короткие сроки, то в связке номера и аккаунта всё же был бы смысл…

А так, конечно, создаётся только видимость некой безопасности, которая делает пользователя излишне беспечным, как и произошло в моём случае.

У меня даже возникла мысль купить премиум-доступ, чтобы поддержка мне всё же ответила, но изчив комментарии людей в сети, понял, что другие теряют аккаунты по схожей схеме даже с премиум-подпиской и никакого приоритета с поддержкой она не даёт.

[Trahibidadido]

Есть же определенные гайдлайны для публикаций уязвимостей, Responsible Disclosure, всякое такое. Открытое письмо на популярном портале явно не стоит там на первом месте

[Makeman]

Вы правы, но эта публикация во многом для гласности, чтобы у других людей не возникало ложной уверенности в почти непогрешимой безопасности мессенджера, какая была у меня.

Извините, нажимал кнопку “Одобрить комментарий”, но она чуть подвисла и случайно клацнул на минус, а отменить уже нельзя. Может, кто-нибудь другой плюсанёт.

[firegurafiku]

Responsible Disclosure

Тут совершенно нечего проводить через гайдлайны публикации уязвимостей. “Уязвимость” давно известна, давно и широко эксплуатируется, и лежит в социальной плоскости, а не в технической.

А по существу вопроса: ещё в далёком две тысячи условно пятом году Мейлу-Агент оповещал пользователя по имейлу о попытке смены телефона в профиле, и тут же давал возможность смену телефона отменить. Тому, что этого не делает Телеграм, нет никаких разумных оправданий.

[Makeman]

Справедливости ради замечу, что на странице https://telegram.org/faq есть вопрос

Q: Why should I trust you?

где указан адрес, куда можно сообщать об уязвимостях и проблемах с безопасностью

We welcome security experts to audit our system and appreciate any feedback at security@telegram.org.

Конечно, первым делом направил схожее обращение на русском языке по указанному адресу с копией на recovery@telegram.org, но за несколько дней так и не получил никого ответа, даже какой-либо автоматической отписки, что обращение принято на рассмотрение.

Где-то в описании bug bounty program ещё встречал, что сообщения о технических уязвимостях следует оформлять на английском с полным описанием окружения и прочими деталями. Но тут такой случай, как заметили в комментарии чуть выше, что уязвимость лежит больше в социальной плоскости и механике привязки мобильных номеров.

Причём, мне не нужны никакие материальные поощерения за констатацию факта наличия этой лазейки, которой уже давно злоупотребляют. Просто восстановить доступ к аккаунту было бы наилучшей наградой, так что мне больше практически ничего и не оставалось, как опубликовать этот материал тут.

И да, для меня загадка, почему в Телеграмм не предусмотрены оповещение пользователя о смене номера и возможность отмены этой операции.

[Trahibidadido]

Если смотреть на обще принятые правила, то grace period по найденой уязвимости как правило 30 дней, но не менее двух недель. В течение этого времени разработчик обязан выйти с вами на связь и согласовать дальнейшие действия. То что сделали вы попросту неэтично, вы не дали разработчику времени на ответ, не то на устранение, и вместо этого выдали можно сказать инструкцию Bad Actorам.

Я писал на security@telegram.org один раз, мне ответили спустя 13 дней. Я не представляю какой у них поток мусорных писем. Вангую что через пару недель ответят и вам.

В случае если эта статья получит какую-то огласку в СМИ и отразится на репутации Телеграм, вас могут и привлечь. Если из-за вашей публикации злоумышленники начнут массово атаковать Telegram, компания может подать в суд о возмещении ущерба или вреда деловой репутации. Вероятность этого низкая, но она есть.