Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 15
Данная уязвимость попала в программу bug bounty телеграма и была оценена в 100€.Потому что пробив по номеру стОит существенно дороже, не говоря уже о том, что номер м.б. оформлен на дядю или вообще быть не российским, где цены на пробив драматически выше.
А какие геоданные отдаст десктопный клиент?
Продолжение банкета
Но все это никак не помешало каналу «шум прибоя» вывалить кучу ПД конкурирующих админов. И лишь единичные админы поржали в ответ, указывая на публичный источник их ПД и их связи с каналом.
Еще больше юмора случилось с деаноном админа, который прямо в описании канала указал свое реальное ФИО и место работы.
Итого: «первая телеграмная война»(с) началась успешными сливами — судя по нервной реакции с обеих сторон, но источниками сливов были явно не описываемые в статье багофичи.
А что там у тебя, Сеня?
www.youtube.com/watch?v=-BuwEvVPU84
И только из-за подлого вируса судьба «футляра», его СИМ-карты, а также снятой суммы в битках, заработанных непосильным трудом, канула в лету… с лёту… Интересно, что же будет к лету?
Еще больше юмора случилось с деаноном админа, который прямо в описании канала указал свое реальное ФИО и место работы.
Итого: «первая телеграмная война»(с) началась успешными сливами — судя по нервной реакции с обеих сторон, но источниками сливов были явно не описываемые в статье багофичи.
А что там у тебя, Сеня?
www.youtube.com/watch?v=-BuwEvVPU84
И только из-за подлого вируса судьба «футляра», его СИМ-карты, а также снятой суммы в битках, заработанных непосильным трудом, канула в лету… с лёту… Интересно, что же будет к лету?
Будем честны, это не уязвимость, а социнженерия + недоработка телеграма.
Предлагаю считать, что это комплект из мелкой уязвимости и социнженерии.
Вот так легким движением руки говорим не уязвимость, а просто недоработка и можно не платить за найденную уязвимость. Не надо быть таким, фу :)
Ну не доработка это вообще идентификация клиента.
Ну о какой анонимности может идти речь, если регистрация по номеру телефона, пусть даже и дяди/тети/купленного в переходе.
Если нужна анонимность, то только emeil и желательно анонимный и разовый, только что бы стать клиентом мессенджера.
Ну о какой анонимности может идти речь, если регистрация по номеру телефона, пусть даже и дяди/тети/купленного в переходе.
Если нужна анонимность, то только emeil и желательно анонимный и разовый, только что бы стать клиентом мессенджера.
Если нужна анонимность, не нужен даже email — Jami & co передают пламенный привет.
Утечка данных чаще происходит, когда юзер тыкает кнопку "добавить контакт" которая появляется при чате с новым пользователем. В этом случае он добровольно отдаёт свой номер, что не очевидно. У меня много таких контактов уже. Сам пару раз в начале слуачано тыкал по этому сообщению.
Тот случай, когда заголовок громче самой статьи
Выше верно заметили
Утечка данных чаще происходит, когда юзер тыкает кнопку «добавить контакт» которая появляется при чате с новым пользователем. В этом случае он добровольно отдаёт свой номер, что не очевидно. У меня много таких контактов уже. Сам пару раз в начале слуачано тыкал по этому сообщению.
Будем честны, это не уязвимость, а социнженерия + недоработка телеграма.
Открыт новый сезон «Телеграм забагован/ненадёжен/сливает инфу/продался, пользуйтесь ICQ и Там-Там»?
Мессенджер привязаный к вашему личному номеру телефона по определению не может быть приватным. Он может лишь удорожить процесс раскрытия вашей личности.Опять путаем анонимность и приватность?
Хорошее замечание. Все зависит от модели угроз и дополнительных условий.
Допустим есть некий блогер который общается в Telegram группе и ведет канал от своего настоящего имени. При этом он не хочет чтобы его номер знали посторонние люди. В данном случае номер телефона это конфединциальные данные защищенные настройками Privacy and Security в приложении. Анонимности уже итак нет, а приватность может быть нарушена с помощью рассмотренного сценария атаки.
Другой кейс: в Telegram чате некий пользователь под вымышленным именем не лестно высказался о действующей власти. Этот пользователь зарегистрировался под собственным номером телефона. В данном случае он анонимен и его номер это приватные данные. Его номер также можно раскрыть рассмотренным сценарием, но это всё еще не нарушит его анонимность потому что номер сам по себе почти ничего не сообщает о личности владельца аккаунта, это всего лишь набор чисел.
Выходит что в обоих примерах нарушается именно приватность и только во втором может быть нарушена анонимность. И это лишь в том случае если номер телефона получится сопоставить с личностью найдя например сайт-визитку владельца, где указан его номер, или сопоставив номер с другой утекшой базой данных, или просто позвонив по номеру и сказав «Привет. Ты кто?».
На мой взгляд анонимность впринципе не может быть достигнута техническими решениями, а лишь правильным их использованием.
Допустим есть некий блогер который общается в Telegram группе и ведет канал от своего настоящего имени. При этом он не хочет чтобы его номер знали посторонние люди. В данном случае номер телефона это конфединциальные данные защищенные настройками Privacy and Security в приложении. Анонимности уже итак нет, а приватность может быть нарушена с помощью рассмотренного сценария атаки.
Другой кейс: в Telegram чате некий пользователь под вымышленным именем не лестно высказался о действующей власти. Этот пользователь зарегистрировался под собственным номером телефона. В данном случае он анонимен и его номер это приватные данные. Его номер также можно раскрыть рассмотренным сценарием, но это всё еще не нарушит его анонимность потому что номер сам по себе почти ничего не сообщает о личности владельца аккаунта, это всего лишь набор чисел.
Выходит что в обоих примерах нарушается именно приватность и только во втором может быть нарушена анонимность. И это лишь в том случае если номер телефона получится сопоставить с личностью найдя например сайт-визитку владельца, где указан его номер, или сопоставив номер с другой утекшой базой данных, или просто позвонив по номеру и сказав «Привет. Ты кто?».
На мой взгляд анонимность впринципе не может быть достигнута техническими решениями, а лишь правильным их использованием.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Раскрытие номера телефона и геолокации через уязвимость в Телеграме