Обновить
256K+

Мессенджеры *

Системы обмена сообщениями

178,59
Рейтинг
Сначала показывать
Порог рейтинга

Реклама в Telegram в 2026 году: что работает, что перестало

Последние полгода активно тестировал разные форматы продвижения в Telegram.

В Ads через официальный кабинет минимальный порог входа снизился до 1500 евро, это уже не только для крупных компаний. Таргетинг по каналам работает нормально если правильно подобрать список. Цена за пдп сильно зависит от ниши, у меня выходило от 40 до 180 рублей.

Посевы в каналах. Живее чем кажется. Но рынок сильно изменился + цены подросли не смотря на все замедления и прочие проблеммы: накрученные каналы стали легче распознавать по статистике просмотров и вовлечённости. Спасибо Telemetr и Tg Stat. Хорошие площадки с живой аудиторией стоят дороже, зато конверсия реальная.

Взаимный пиар. Работает только если аудитории реально пересекаются по интересам. Иначе прирост есть, удержания нет.

Что удивило: Stars как инструмент продвижения. Telegram позволяет оплачивать рекламу внутри платформы звёздами, и это заметно дешевле чем через обычный кабинет. Не все знают про эту механикуу.

Главный вывод: Telegram как рекламная платформа ростёт. Халявного трафика почти не осталось, зато инструменты стали нормальными. Бюджет нужен, но и результат предсказуемее.

Какие форматы продвижения сейчас используете, что даёт лучшее соотношение цены и качества аудитории?

Теги:
+3
Комментарии0

Telegram как платформа для платного продукта: что изменилось в 2026 году

Два года назад когда я впервые запускал платный доступ через Telegram, это выглядело как костыль. Бот принимает деньги, добавляет пользователя в закрытый канал, следит за сроком. Всё самописное, всё ломалось в самый неподходящий момент.

Сейчас картина другая.

Telegram Stars превратился в нормальный платёжный инструмент внутри платформы. Пользователь платит не выходя из мессенджера, конверсия ощутимо выше чем при редиректе на сайт. Для цифровых продуктов это реально меняет воронку.

Но самое интересное не в Stars. Аудитория Telegram в 2026 году психологически готова платить внутри мессенджера. Два года назад нужно было долго объяснять зачем вообще платить за контент в Telegram. Сейчас люди привыкли, платные каналы и боты стали нормой.

Что из этого следует для продуктов.

Telegram перестал быть каналом дистрибуции и стал полноценной платформой для монетизации. Со своей аудиторией, своей экономикой и своими ограничениями.

Ограничения реальные: вывод через Stars только в TON через Fragment, для российского бизнеса с рублёвой отчётностью это головная боль. Поэтому многие комбинируют: Stars для части аудитории, ЮKassa через Payments API для тех кто предпочитает карту.

Ещё один момент который я не ожидал: удержание в Telegram выше чем в большинстве других форматов. Люди не отписываются от бота так легко как от email-рассылки. Если продукт нормальный, churn заметно ниже.

Для каких продуктов это работает лучше всего: закрытые сообщества, доступ к контенту по подписке, консультации с автоматическим онбордингом. Для чего работает хуже: сложные SaaS с кучей настроек, всё что требует нормального личного кабинета.

Пробовали монетизировать что-то через Telegram?

Теги:
+2
Комментарии0

Telegram Stars в боте: попробовал прикрутить, делюсь что удивило

Давно хотел добавить платежи в одного из своих ботов. Раньше использовал ЮKassa через нативный Telegram Payments. Но в этот раз решил попробовать Stars, всё-таки нативная валюта платформы, без внешних провайдеров.

Настройка оказалась проще чем ожидал. Никаких provider_token, никакой возни с webhook от платёжки. Просто отправляешь инвойс с указанием суммы в Stars и обрабатываешь successful_payment. Примерно так:

python

await bot.send_invoice(
    chat_id=message.chat.id,
    title="Премиум доступ",
    description="Доступ на 30 дней",
    payload="premium_30d",
    currency="XTR",
    prices=[LabeledPrice("30 дней", 100)]
)

Работает. Пользователь платит не выходя из Telegram, конверсия реально выше чем при редиректе на внешнюю страницу.

Но есть нюансы которые я не учёл сразу.

Первое: если пользователь покупал Stars через iOS или Android, Telegram отдаёт разработчику примерно 70% от суммы, остальное Apple и Google забирают себе. Если через десктоп или веб — почти всё твоё. Это принципиально меняет экономику для аудитории которая сидит на телефоне.

Второе: возвраты. Stars можно вернуть и Telegram это делает по запросу пользователя. Нужно обрабатывать refunded_payment иначе пользователь получит деньги обратно а доступ у него останется.

Третье: вывод только через Fragment в TON. Для российского юрлица это отдельная история.

В целом для цифровых товаров и небольших сумм Stars удобнее чем внешние платёжки. Но если оборот серьёзный или нужен рублёвый вывод, ЮKassa всё ещё выглядит надёжнее.

Кто уже работает со Stars в продакшене, как решаете вопрос с выводом в рубли?

Теги:
+4
Комментарии0

Как записать "круглое" видео в мессенджере "BITCORD".

Пишу крутой облачный мессенджер (мини-соцсеть) под пилотным названием BITCORD. Недавно для него реализовал новую функцию отправки видеосообщений в форме "круглого" видео. Теперь любой пользователь может отправить своему собеседнику модное селфи без каких-либо специальных настроек. Это круто и весело, дополняет общение личной эмоцией.

Чтобы отправить такое видео, достаточно открыть чат и выбрать в верхнем выпадающем меню пункт "Селфи видео". Далее откроется небольшое диалоговое окошко, где необходимо нажать и удерживать кнопку "Hold" - после этого начнется процесс записи видео с фронтальной камеры смартфона.

Длительность записи ограничена по времени, чтобы не перегружать смартфон ресурсоемким процессом. После истечения лимита или как только пользователь отпустит кнопку, видео отправится на бэкенд для дальнейшей обработки.

Особенности видеосообщений:

  • Лимит времени: Максимальная длительность одного ролика составляет 10 секунд.

  • Формат: Видео автоматически обрезается в форме круга и записывается на фронтальную камеру.

  • Воспроизведение: В чате такие ролики проигрываются один раз при нажатии "Play".

Способ 1

Бэкенд приводит видео к "квадратному" формату с соотношением сторон 1:1 и возвращает ссылку на него обратно в чат собеседникам.

Ниже пример выполнения преобразования видео в "квадратный" формат с помощью "ffmpeg":

ffmpeg 
  -i input.mp4 
  -vf "crop=480:480:0:(ih-480)/2" 
  -c:v libx264 -crf 23 
  -c:a copy output.mp4

Чтобы отобразить "квадратное" видео в виде круга на Java, я создаю шаблон (ViewOutlineProvider). Он принудительно задает графическому элементу (View) форму идеального круга фиксированного размера:

private static final ViewOutlineProvider CIRCLE_PROVIDER = new ViewOutlineProvider() {
  @Override
  public void getOutline(View view, Outline outline) {
    int sizeInPx = (int) TypedValue.applyDimension(
      TypedValue.COMPLEX_UNIT_DIP, 270, view.getResources().getDisplayMetrics()
    );
    outline.setOval(0, 0, sizeInPx, sizeInPx);
  }
};

Затем в холдере применяю описанный выше шаблон к TextureView и ImageView:

static class CircleVideoViewHolder extends BaseViewHolder {
  TextureView texture;
  ImageView   preview;

  VidCrViewHolder(View v) {
    super(v);
          
    texture = v.findViewById(R.id.video_texture);
    preview = v.findViewById(R.id.video_preview);

    texture.setOutlineProvider(CIRCLE_PROVIDER);
    preview.setOutlineProvider(CIRCLE_PROVIDER);

    texture.setClipToOutline(true);
    preview.setClipToOutline(true);
  }
}

В результате выполнения этого кода видео примет "круглый" вид.

Способ 2

Как показала практика, кодирование видео в "квадратный" формат на бэкенде невыгодно, так как оно занимает время и нагружает сервер. Без хорошей видеокарты, которая на бэкенде часто отсутствует, работать с видео накладно. Поэтому я пошел другим путём.

Так как камера смартфона снимает видео не в "квадратном" формате, я воспользовался матрицей преобразования, центрировал кадр и обрезал лишние стороны.

//фиксированный размер видео с камеры смартфона: 480x640
float scaleY = h / (w * 480 / 640); 
Matrix matrix = new Matrix();
matrix.setScale(1.0f, scaleY, w / 2f, h / 2f);
CircleVideoViewHolder vch = (CircleVideoViewHolder) holder;
vch.texture.setTransform(matrix);

При таком подходе вся работа выполняется на стороне графического процессора (GPU) самого смартфона с максимальной скоростью. Это полностью избавляет от необходимости обрабатывать видео на бэкенде.

В результате получилась вот такая красота:

селфи видео в круглом формате
селфи видео в круглом формате

Итог:

Перенос графических вычислений на сторону клиента (в данном случае на GPU смартфона) позволил решить сразу две важные задачи. Во-первых, это полностью разгружает бэкенд-сервер от тяжелых операций перекодирования видео. Во-вторых, обеспечивает пользователя мгновенным откликом интерфейса и быстроту отправки сообщения, так как обработка кадра происходит "на лету" прямо во время записи.

Спасибо за вашу поддержку. Это придает стимул писать дальше.

Теги:
+6
Комментарии7

Лайфхак для мозга:как закрывать задачи и не терять эффективность.

Вам знакомо чувство, когда 10 мелких незавершенных задач буквально живут в голове и забирают внимание, даже когда ты занята другим.

Это эффект Зейгарник или налог на внимание. Каждая незакрытая задача в списке тихо съедает часть рабочей памяти, весь день, фоном. Почему так происходит?

Мозг тянется к задачам с ощущением веса и масштаба, потому что там есть понятная награда — чувство, что сделал что-то значимое. Мелкая задача этого не обещает, и мозг её тихо игнорирует, раз за разом выбирая что-то покрупнее.

Единственное, что здесь работает — убрать у мозга возможность выбирать. Если задача занимает меньше двадцати минут, она уходит в работу первой, до всего остального. Так мелкие вещи перестают съедать фоновое внимание, которое нужно для по-настоящему сложных решений.

Такие дела. 

Теги:
+1
Комментарии2

Попирание свободы выбора Apple и в случае с Макс это другое?

Эту новость вероятно видели многие, после блокировки нескольких приложений в Аpp Store последовал комментарий от многих чиновников, в том числе и такой:

«Apple диктует россиянам, какими приложениями пользоваться, что читать и что писать. Цель — тотальный контроль над нашими вкусами, мыслями и действиями», — заявила уполномоченный по правам человека Яна Лантратова в своём Telegram-канале.

И в этой новости прекрасно буквально все:

Почему в ТГ? Его же заблокировали официально? Или замедлили? Или запретили пользоваться? Или признали недружественным мессенджером? Или посоветовали им не пользоваться? Тут я не разобрался до конца.

И второй момент - где то я это уже видел. Пару месяцев назад буквально, но тогда это называлось - забота о безопасности граждан.

Что думаете? Это другое получается? Или госпожа депутат не разобравшись в вопросе, не справилась с эмоциями и выдала этот шедевр не подумав? Или просто проведению параллелей не учат на курсах депутатского мастерства?

Теги:
+2
Комментарии3

VKCipher: сквозное шифрование для переписки ВКонтакте

Это браузерное расширение, которое добавляет end-to-end шифрование в веб-версию ВКонтакте(и в pwa мессенджер). Работает везде: iPhone /Windows / Mac / Linux / Android

Что умеет:шифрует сообщения, картинки и видео.В планах еще голосовухи.

Репозиторий: VKCipher

Работает через Tampermonkey / Userscripts: Chrome на пк, Safari на iPhone, Firefox на Android. Открываете vk.com, vk.ru или web.vk.me, заходите в чат — в поле ввода появляются кнопки шифрования и управления ключами.

Зачем

У ВК есть огромный плюс: он уже установлен у миллионов людей. У него же есть очевидный минус: обычная переписка не является end-to-end encrypted

VKCipher закрывает именно этот слой. Не пытается заменить мессенджер, не делает VPN, не обещает анонимность. Он делает одну вещь: содержимое сообщения уходит в ВК уже зашифрованным.

ВК, браузерный интерфейс, логи, бэкапы, случайный доступ к аккаунту или серверной стороне видят не текст, а строку вида:

ENC[key<id>:base64(iv ciphertext tag)]

Без ключа это не сообщение, а мусор.

Как устроено?

Криптография не самописная. Используется AES-256-GCM через нативный Web Crypto API браузера. Для каждого сообщения генерируется новый 12-байтный IV/nonce. GCM-tag проверяет целостность: если шифротекст повредили или подменили, расшифровка падает.

Ключи можно получить двумя способами:

  1. Seed-фраза Пользователь вводит фразу, из неё через PBKDF2-SHA256 генерируются k1…k4.

  2. 64-hex ключ Можно добавить свой ключ вручную или сгенерировать временный [РЕКОМЕНДУЮ ВРЕМЕННЫЙ НА КАЖДЫЙ ЧАТ И РОТИРОВАТЬ ЕГО РЕГУЛЯРНО].

Seed-фраза не сохраняется.

Сейчас VKCipher умеет:

  • шифровать исходящие сообщения кнопкой;

  • автоматически шифровать сообщение при Enter;

  • расшифровывать входящие(текст/картинки/видео) прямо в чате;

  • переключать [шифр] / [текст];

  • работать в личках, беседах и групповых чатах;

  • использовать несколько слотов ключей;

  • генерировать временный ключ;

  • кодировать шифротекст не только Base64, но и emoji-алфавитом.

Последнее не про криптографию, а про UX. Иногда приятнее видеть стену из эмодзи, чем технический Base64. А вероятность такого текста в обычной переписке выше, чем обычного Base64.

Почему не Telegram / Мой_Любимый_Мессенджер?

Потому что это другой сценарий. В Telegram сквозное шифрование есть только в секретных чатах, а обычные чаты — не зашифрованы(Многие этого не знают).VKCipher нужен не для того, чтобы спорить, какой мессенджер «правильный». Он нужен для ситуации, где люди уже сидят во ВК и не хотят/не могут переезжать.

Приватность должна быть не религиозным выбором мессенджера, а функцией, которую можно включить там, где уже идёт общение.

Threat model

VKCipher защищает содержимое сообщений.Он не скрывает:

  • факт переписки;

  • участников переписки;

  • время отправки;

  • размер сообщения;

  • IP-адрес;

  • сам факт использования ВК;

  • текст, если устройство уже скомпрометировано;

  • ключ, если пользователь сам отправил его в тот же чат.

То есть это не Tor, не VPN и не «режим невидимости». Это именно E2EE-слой поверх существующего транспорта.

Почему открытый код важен

Криптографический инструмент без открытого кода — это «поверьте нам». Мне такой подход не нравится. Поэтому код открыт. Можно проверить реализацию. Плюс можно добавить Макс/Телеграм/Мой_Любимый_Мессенджер

Если найдёте проблему — issue/PR приветствуются.

Итог

VKCipher — это маленький слой приватности поверх ВК. Не новый мессенджер, не новый клиент. Не самодельный шифр. Не магия. Не анонимность.

Просто нормальный AES-256-GCM в привычном чате, с открытым кодом и установкой за несколько секунд.

Репозиторий: VKCipher
Расширение не является продуктом ВКонтакте.

UPD: Все спрашивают банят ли аккаунты? Уже 2 месяца 50к сообщений с друзьями написали, банов нет. Но используйте доп аккаунт (ВК FAQ:Как добавить несколько профилей)
UPD 2: VKEncrypt было занято другим (закрытым) расширением, переименовал в VKCipher

Теги:
+13
Комментарии28

Обратная сторона рабочих чатиков

Андрей Врацкий начал строить рынок корпоративных мессенджеров в 2015 году, когда WhatsApp и Telegram только начинали проникать в рабочие чаты, а безопасники в компаниях делали вид, что все ок и деловая переписка — это личная ответственность сотрудника. 

На создание продукта ушло четыре года. Когда eXpress вышел в 2019-м, то выяснилось: все уже так привыкли к Telegram и WhatsApp, что менять ничего не хотят. 

Прошло семь лет. Сегодня иностранные мессенджеры заблокированы, отечественный* удален из App Store на неопределенный срок. На этом фоне спрос на eXpress вырос в четыре раза — и это пока Telegram все еще работает. Что будет, когда перестанет? 

Хотя по мнению Врацкого, хороший продукт будет востребован вне зависимости от обстоятельств и критерий его успеха — это конкурентоспособность на мировом рынке.

Подробнее — во втором выпуске подкаста «IT-фронтир».

Теги:
+4
Комментарии2

Как не открывать навязанный мессенджер и выжить: история одного моста Max2TG 🚀🚪

Привет,

Случалось ли у вас такое: сидите вы в своём уютном Telegram, пьёте кофе, пишете код… и тут приходят они — инициаторы «великого переезда».

С горящими глазами они объявляют:

Ребята, с понедельника мы все дружно переходим на корпоративный мессенджер МАКС!

И ладно бы это был просто мессенджер. Но к нему обычно прилагаются новый интерфейс, слежка, новые уведомления, которые ломают привычный дзен.

В общем, кто-то с ИИ-напарником сел, переглянулись и решили: если мы не можем отменить МАКС, мы можем сделать так, чтобы никогда его не открывать.

Max2TG — двусторонний мост между МАКСом и Telegram Topics, написанный полностью на чистом вайбе. Ну и на Python, конечно.

Сразу важное уточнение: автор этого поста и автор репозитория никак не связаны. Я просто нашёл проект, посмотрел на идею, восхитился уровнем инженерного упрямства и решил оформить это в виде небольшого рассказа.

Как это работает

Вместо того чтобы держать открытым приложение МАКС, вы создаёте одну Telegram-группу с включёнными топиками, то есть форумами, и приглашаете туда бота.

Дальше всё работает примерно так:

  • каждый чат или канал в МАКСе превращается в отдельный топик в Telegram;

  • кто-то пишет вам в МАКС — бот ловит сообщение и аккуратно пересылает его в нужный топик в Telegram;

  • вы отвечаете на сообщение в топике Telegram — бот отправляет ответ обратно в МАКС от вашего имени;

  • картинки, видео, файлы, редактирование и даже удаление сообщений синхронизируются в обе стороны.

С технической точки зрения самое интересное здесь то, что приложение, судя по всему, эмулирует работу официального клиента МАКСа.

Как так получилось, почему это работает и кто вообще оставил эту дверь приоткрытой — науке неизвестно. Мы, как говорится, просто наблюдаем интересный инженерный артефакт.

Выглядит это так: для коллег вы прилежный сотрудник, который мгновенно отвечает в МАКСе. Для себя — человек, который вообще не сворачивает Telegram.

Победа? Победа.

Что под капотом

Проект собран на классическом Python-стеке:

  • aiogram;

  • aiosqlite;

  • python-dotenv.

Но дьявол, как обычно, крылся в деталях. Точнее — в зависимостях.

Поскольку оригинальный API МАКСа завязан на корпоративный TLS со стеком GOST/LibreSSL, при первой сборке авторы столкнулись с суровой реальностью: библиотека шифрования стабильно выдавала SIGSEGV, то есть падение процесса, при долгих параллельных запросах.

Как это решили?

Вайбкодинг-стилем.

Приложение разнесли на три изолированных процесса:

  1. Основной процесс — Telegram, SQLite и логика синхронизации.

  2. max-polling — отдельный процесс-слухач для событий МАКСа.

  3. max-sdk-worker — отдельный процесс для отправки сообщений.

Если суровое шифрование падает от сетевого шока, падает только один маленький воркер, который тихо перезапускается Docker-ом. Основной бот в Telegram при этом даже бровью не ведёт.

Костыль? Нет, отказоустойчивая микросервисная архитектура! 😎

Важный дисклеймер

Этот пост — не рекомендация нарушать корпоративные политики, требования ИБ, правила использования сервисов или внутренние регламенты компании.

Если у вас в организации запрещены неофициальные клиенты, мосты, прокси, боты, автоматизация сообщений или эмуляция работы приложений — лучше не пытаться быть героем. В корпоративной среде «оно же просто пересылает сообщения» очень быстро превращается в разговор с безопасниками, юристами и руководителем.

Проект стоит воспринимать в первую очередь как любопытный инженерный эксперимент: пример того, как люди строят мосты между несовместимыми мирами, когда один мир очень хочет жить в Telegram, а другой внезапно переехал в государственный мессенджер.

Итог

Мост собран, протестирован, залит на GitHub и готов к бою.

Теперь вся коммуникация с МАКСом может происходить из любимого кресла в Telegram.

Если вас тоже пытаются насильно пересадить на новые корпоративные рельсы — не унывайте. Пишите мосты, кодите на вайбе и берегите свою менталку.

Код и инструкция по настройке здесь:

GitHub

Теги:
Всего голосов 11: ↑10 и ↓1+11
Комментарии13

🤗 Привет всем!

😻 Обновление HalChat for Android: v1.0.2 (Vote or don't vote)

Что нового?
😌Теперь есть описание чатов.
🤖 Добавлено обновление данных чата.
😉 Добавлены метаданные файлов HD - мгновенное определение что за файл или какие размеры изображения.
😇 Доступны опросы/голосования в чатах.

Что исправлено?
🤓 Если получение или расшифровка пароля была прервана, то теперь он запросит заново, и пароль будет доступен в любом случае.
🫢 Теперь при получении пароля от чата, в списке чатов сообщения будут расшифроваться.
😎 Исправлена система файлов в чате, они будут отображаться всегда и в том числе изображения (исправлен баг).

До новых встреч!

Google Play: https://play.google.com/store/apps/details?id=halwarsing.net.halchatandroid
RuStore: https://www.rustore.ru/catalog/app/halwarsing.net.halchatandroid
HalChat Web: https://halch.at/c/tZgWWT
GitHub: https://github.com/halwarsing/HalChat/tree/dev

Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии2

А это вообще законно?

Идем на Горздрав с ПК, смотрим номерки к нужному врачу … детскому (!) врачу. Номерков нет (правый скрин). Ну что же, бывает, в отпуск ушли. Так проходит неделя, а номерков все нет. Заходим со смартфона (средний скрин), проверяем … печалька, все еще в отпуске друзья-врачи. Пробуем зайти через макс (левый скрин) и, о чудо! Доктора-то оказываются пашут как не в себя. Просим хорошего человека записать ребенка к врачу, а заодно и прислать скрины.

И вот встает вопрос законности всего этого мероприятия. Ну ладно я не могу по-человечески в телеграм написать в рабочий чат. Хорошо, для покупки алкоголя мне приходится паспорт таскать (шучу). Можно смириться что на госуслуги я могу только по ключам заходить. Домовые чаты и школы – фиг с ними. Но ребята, а не заигрались ли вы? Ну это же медицина, я же за нее налоги плачу. Может я скоро хлеба не смогу себе купить без макса? Давайте бенз продавать только по QR коду из приложения, симки регать только через него … В метро не пускать … Нужно еще учитывать, на минуточку, что приложение удалили из App Store.

Теги:
Всего голосов 22: ↑22 и ↓0+29
Комментарии5

Восстановление аккаунта в эфемерном мессенджере, не ломая приватность? Легко!

RCQ это анонимный мессенджер: без телефона и почты, история только на устройстве, сервер хранит минимум. Цена такой модели: потерял телефон, и аккаунт (сам UIN, твоя личность в сети) потерян навсегда. Это отпугивало тех, кому нужен постоянный аккаунт. Мы добавили фразу восстановления и постарались не превратить приватный мессенджер в обычный облачный.

Сразу: Android-клиент теперь в проде, фраза в нём есть. Ссылка в конце.

Аккаунт это ключи

Логина и пароля нет. Аккаунт это пара ключей: X25519 (шифрование) и Ed25519 (подпись). UIN это просто ручка на сервере, привязанная к публичному ключу. Приватные ключи не покидают устройство. Отсюда: бэкап аккаунта это бэкап ключа, а восстановление это доказать серверу, что ключ у тебя.

Откуда фраза

При создании аккаунта генерируется случайный seed на 32 байта. Из него детерминированно выводятся оба ключа через HKDF-SHA256 с фиксированными info-строками:

identity_priv = HKDF-SHA256(seed, "rcq-recovery-x25519-v1", 32) signing_priv = HKDF-SHA256(seed, "rcq-recovery-ed25519-v1", 32)

Из одного seed всегда те же ключи, значит достаточно сохранить seed. Кодируем его в 24 слова по BIP39 (как в криптокошельках): 256 бит энтропии плюс 8 бит контрольной суммы, режется по 11 бит, словарь на 2048 слов. Контрольная сумма ловит опечатки.

Восстановление

На новом устройстве вводишь 24 слова:

  1. Из слов получается seed, из seed те же ключи.

  2. Клиент берёт у сервера одноразовый челлендж.

  3. Подписывает его Ed25519-ключом, шлёт подпись.

  4. Сервер проверяет подпись против публичного ключа и отдаёт UIN и токен.

Приватный ключ никуда не передаётся, пароль нигде не хранится. Это challenge-response: перехват челленджа бесполезен, он одноразовый.

Что возвращается

Возвращается личность: UIN, ключи, контакты, группы, ожидающие сообщения. НЕ возвращается локальная история переписки, она только на устройстве (зашифрованный бэкап истории это отдельная фича на будущее). Активные ratchet-сессии (forward secrecy) сбрасываются, собеседники видят смену ключа, как в Signal.

Почему это не ломает приватность

Тонкий момент, проговорим его подробно. Восстановимая фраза это постоянный секрет с полным доступом навсегда. Пока seed лежит только в зашифрованном хранилище приложения, удалил приложение не записав фразу, и всё стёрлось, эфемерность сохраняется. Как только выписал 24 слова, появляется вечная точка восстановления, это другая модель угроз.

Баланс такой: seed есть у каждого нового аккаунта, но воспользоваться им (записать фразу) это твой осознанный выбор, не навязанный. Плюс фразу прячем за подтверждением (+PIN), чтобы её не выгребли с разблокированного на минуту телефона.

Кросс-платформенно

Деривация и словарь одинаковы на Android и iOS. Мы прогнали обе реализации (CryptoKit и наш Android-стек) на одном seed и сравнили побайтово: одинаковые ключи, одинаковые слова. Фразу с Android можно ввести на iPhone и наоборот.

Границы

  • История чатов пока не восстанавливается.

  • Аккаунты, созданные до фичи, фразы не имеют (их ключи не из seed), для них будет экспорт сырого ключа (но для этого мы и в бете, так что на релизе такого не случится).

  • Это не мультидевайс: ввести фразу на втором телефоне можно, но это переезд, а не одновременная работа, ratchet-сессии разойдутся.

Код клиента открыт, Android в проде. Будем рады разбору, особенно по криптографии.

Скачать APK (Alpha)/iOS TF (Beta): https://rcq.app/
GH: https://github.com/rcq-messenger

Теги:
Всего голосов 9: ↑8 и ↓1+9
Комментарии4

Хроники безумного учёного: как No-Code и щепотка ворчания оживили моего первого Telegram-бота

До недавнего времени я относился к искусственному интеллекту со скепсисом. Ну, знаете, как к чуть более прокачанному поисковику. Мне казалось, что весь этот хайп вокруг ChatGPT и нейросетей — просто раздутый мыльный пузырь, в который влили миллиарды долларов. Я уверенный пользователь Гугла и искренне считал: «Чего я не смогу найти сам?». С этими мыслями я жил спокойно, пока не произошло два случая.

Случай №1: Магия в Excel

На работе моему руководителю дали объемное задание по сводным таблицам, которое вручную заняло бы несколько дней. Каково же было мое удивление, когда он справился меньше чем за час. Оказалось, он просто закинул массив данных в ИИ, четко прописал задачу и получил готовый результат. В голове зародилось семя сомнения: «Может, это все-таки не просто поисковик?».

Случай №2: ИИ вместо автомеханика

Окончательно мой скепсис разбился, когда у моей машины (а это старушка 2004 года) прямо на дороге вырвало шаровую опору. Колесо вывернуло под неестественным углом, я в панике жду эвакуатор и мысленно прощаюсь с бюджетом. От нечего делать я сфотографировал повреждение и скинул картинку в ИИ с кратким описанием.

За несколько секунд нейросеть провела анализ кадра, точно назвала поломку, подсказала, какие еще узлы могло повести, и — главное — детально расписала, как вести себя на СТО, чтобы мастера не развели на лишние деньги. Когда ремонтники озвучили ровно те же диагнозы, я понял: ИИ — это полноценный ассистент.

Как появился «Док» и почему обычные боты — скука

Воодушевленный, я решил создать Telegram-канал, чтобы делиться такими прикладными сценариями. Но подобных каналов тысячи. Вместе с каналом я захотел запустить бота-помощника, но когда начал изучать конкурентов, пришел в уныние. Большинство ботов безжизненные: сухие кнопки, стандартные ответы, никакой индивидуальности.

Я решил пойти другим путем — оживить бота и дать ему характер. Так родился Док ИИ — эксцентричный и ворчливый ученый. У меня не было опыта в программировании, поэтому я собирал его на No-Code платформе PuzzleBot, используя нейросети как главного советника.

Поскольку я сам только учусь, в процессе создания я собрал все возможные грабли:

Боролся с «слепотой» бота: полвечера не мог понять, почему он не реагирует на команды, пока не узнал про коварную настройку Privacy Mode в BotFather.

Ломал публикацию: конструктор отказывался сохранять изменения из-за одной лишней кнопки со ссылкой, где затесался символ @.

Главная фишка: учим бота ворчать

Больше всего меня бесило, что если пользователь пишет боту глупость или случайный текст, бот просто молчит. Я настроил систему триггеров на «неизвестную команду». Теперь, если Доку написать что-то не то, он включает режим безумного гения:

«Тысяча чертей и терафлопсов! 🧪 Мои радары не могут распознать эту аномалию. Я ученый, а не переводчик с человеческого! Пользуйся кнопками меню или пиши /help — не ломай мне хронокапсулу!»

А чтобы победить проблему «холодного старта» (когда юзер заходит в бота и не понимает, куда тыкать), я перерисовал приветственный экран. Теперь Док сам с порога визуально говорит, что делать:

Хроники безумного учёного: как No-Code и щепотка ворчания оживили моего первого Telegram-бота
Хроники безумного учёного: как No-Code и щепотка ворчания оживили моего первого Telegram-бота

Что в итоге?

Я окрылен этим процессом. Мой контент и сам бот — начального уровня, они вряд ли удивят прожженных сеньоров и ИИ-инженеров. Но я хочу делиться опытом с такими же новичками, как я, которые только открывают для себя этот дивный новый мир.

В следующих постах я подробно, по шагам разберу всю техническую внутрянку создания No-Code ботов, если вам это интересно.

Буду рад каждому в нашей Лаборатории! Заходите в гости, тестируйте ворчание Дока и делитесь своими мыслями:

👉 Мой Telegram-канал: https://t.me/iigolovnogo

🤖 Поворчать с Доком в боте: @iigolovnogo_bot

Теги:
Всего голосов 5: ↑1 и ↓4-3
Комментарии0

Ближайшие события

Запилили TG-бота для склейки голосовух - https://t.me/voicemixbot

👍 Зачем.

  1. Сложно наговорить длинную 3-минутную мысль за раз красиво. Вместо этого, ясно произнеси отдельные фразы по 5 сек друг за другом, продумав каждую.

  2. Мысль приходит только на улице во время прогулки и с собой только телега, монтировать дома никто не будет, а итоговая цельная голосовуха с красивой мыслью нужна уже сейчас чтобы кому-то переслать.

  3. Хочешь записать инновационный трек из склейки пердежа, скрипа двери и крика бомжей в метро, но прямо сейчас без инвестиций в монтаж и продюсирование.

🧰 Как пользоваться.

  1. Заходим в @voicemixbot - ему уйдёт команда start.

  2. Шлем голосовухи друг за другом. После каждой видим ADD N, где N - её порядковый номер (начиная с нуля). Это значит, голосовой кусок вставился в ряд. Не говори следующую голосовуху, пока не получил ADD.

  3. Удалить последнюю голосовуху - pop. Когда понял, что последней голосовухе нужен новый дубль. Вернёт SIZE N, где N - новое общее число эпизодов в проекте.

  4. Всё сказал: пишем makeили go. Получаем цельный файл. Забыл что-то сказать - докидываем голосовух в конец и снова make .

  5. Пишем clear если надо начать новый файл.

💎 Команды.

  • clear - забыть всё, начать новый проект

  • info - статус текущего проекта

  • make - склеить текущий проект (цепь голосовух) в один файл

  • name TEXT - указать название TEXT для вашей итоговой записи

  • pop - удалить последнюю голосовуху из стека

  • amp 1 или amp 0 - включить или выключить автоусиление тихой речи.

  • bitrate N - установить битрейт, где N - между 2000 и 50000
    23000 - достаточно для прилично звучащей речи

  • mk N MESSAGE - поставить текстовую метку MESSAGE перед куском номер N. Нумерация с нуля. N - это тот номер, который фигурирует в ответе "ADD"

  • fade N, N - число миллисекунд: длительность плавного перехода между фразами.

Метки.

00:00 - Приветствие
00:21 - Музыка
00:31 - Новости
01:04 - О погоде

Чтобы получить такую таблицу временных меток под записью, отправляй нужный текст перед той голосовухой, на начало которой этот текст должен ссылаться. Текстом считается любой текст, которого нет в таблице команд. Если вы хотели поставить метку перед уже отправленной голосовухой, но забыли это сделать, то используйте команду mk N (см выше).

🔌 Технические детали.

Кодируем речь кодеком OPUS, он прекрасно звучит даже на битрейте 24k, где mp3 бы уже умер. "/" в начале команды не важен. /pop и pop работают одинаково. Цепь голосовух мы называем "проект". У каждого проекта есть уникальное случайное служебное имя вида d7_uaUcUXc0. Помнить его не надо. Команда clear создаёт новый проект с новым именем, забывая предыдущий навсегда. Лимит кусков в проекте - 200, но лучше не рисковать. make 13 минутного файла будет работать 3 минуты. Написано на голимом C++20, libopus, libogg, epoll.

⌛ Лимиты.

  1. Одна голосовуха - не более 60 секунд.

  2. Число голосовух в проекте - 200 штук.

  3. Получается суммарно более 2 часов на один файл, но стало страшно. В будущем возможно порежем лимит результирующего файла чем-то на уровне 10 минут.

🔒Безопасность и надёжность.

clear удаляет голосовухи с сервера бота. Бекапов нет. ФС сервера - в ramdisk. Наговорил, скомпилил - забери себе, не растягивай проект на неделю. Сервер не стабилен, падает раз в неделю с переналивом всей OS с нуля. У админа доступ ко всем голосовухам (как у админы телеграм к личкам), но чаще падает сервер с данными, чем админу охота покопаться. Если придёт майор с бутылкой - всех сдадим, но рамдиск (может быть уже нечего). Метаданные о пользователях не собираем, спамить не будем - даже БД нет. Точнее, есть, но в рамдиске. Если сервер не отвечает, то он либо сдох и ему скоро автоматически нальют образ по вотчдогу, либо занят компиляцией чьего-то проекта - отправь команду info и подожди. Устраивать DoS и хакерство с отправкой гиговых видосов и фоток не надо: бот даже не начнёт качать. В целом, наверное вы можете его положить, но мы просто пнём сервак и он забудет всё плохое в жизни, рамдиск же.

https://t.me/voicemixbot в общем.

Теги:
Всего голосов 7: ↑1 и ↓6-5
Комментарии7

Запилили TG-бота для склейки голосовух - https://t.me/voicemixbot

👍 Зачем.

  1. Сложно наговорить длинную 3-минутную мысль за раз красиво. Вместо этого, ясно произнеси отдельные фразы по 5 сек друг за другом, продумав каждую.

  2. Мысль приходит только на улице во время прогулки и с собой только телега, монтировать дома никто не будет, а итоговая цельная голосовуха с красивой мыслью нужна уже сейчас чтобы кому-то переслать.

  3. Хочешь записать инновационный трек из склейки пердежа, скрипа двери и крика бомжей в метро, но прямо сейчас без инвестиций в монтаж и продюсирование.

🧰 Как пользоваться.

  1. Заходим в @voicemixbot - ему уйдёт команда start.

  2. Шлем голосовухи друг за другом. После каждой видим ADD N, где N - её порядковый номер (начиная с нуля). Это значит, голосовой кусок вставился в ряд. Не говори следующую голосовуху, пока не получил ADD.

  3. Удалить последнюю голосовуху - pop. Когда понял, что последней голосовухе нужен новый дубль. Вернёт SIZE N, где N - новое общее число эпизодов в проекте.

  4. Всё сказал: пишем makeили go. Получаем цельный файл. Забыл что-то сказать - докидываем голосовух в конец и снова make .

  5. Пишем clear если надо начать новый файл.

💎 Команды.

  • clear - забыть всё, начать новый проект

  • info - статус текущего проекта

  • make - склеить текущий проект (цепь голосовух) в один файл

  • name TEXT - указать название TEXT для вашей итоговой записи

  • pop - удалить последнюю голосовуху из стека

  • amp 1 или amp 0 - включить или выключить автоусиление тихой речи.

  • bitrate N - установить битрейт, где N - между 2000 и 50000
    23000 - достаточно для прилично звучащей речи

  • mk N MESSAGE - поставить текстовую метку MESSAGE перед куском номер N. Нумерация с нуля. N - это тот номер, который фигурирует в ответе "ADD"

  • fade N, N - число миллисекунд: длительность плавного перехода между фразами.

Метки.

00:00 - Приветствие
00:21 - Музыка
00:31 - Новости
01:04 - О погоде

Чтобы получить такую таблицу временных меток под записью, отправляй нужный текст перед той голосовухой, на начало которой этот текст должен ссылаться. Текстом считается любой текст, которого нет в таблице команд. Если вы хотели поставить метку перед уже отправленной голосовухой, но забыли это сделать, то используйте команду mk N (см выше).

🔌 Технические детали.

Кодируем речь кодеком OPUS, он прекрасно звучит даже на битрейте 24k, где mp3 бы уже умер. "/" в начале команды не важен. /pop и pop работают одинаково. Цепь голосовух мы называем "проект". У каждого проекта есть уникальное случайное служебное имя вида d7_uaUcUXc0. Помнить его не надо. Команда clear создаёт новый проект с новым именем, забывая предыдущий навсегда. Лимит кусков в проекте - 200, но лучше не рисковать. make 13 минутного файла будет работать 3 минуты. Написано на голимом C++20, libopus, libogg, epoll.

⌛ Лимиты.

  1. Одна голосовуха - не более 60 секунд.

  2. Число голосовух в проекте - 200 штук.

  3. Получается суммарно более 2 часов на один файл, но стало страшно. В будущем возможно порежем лимит результирующего файла чем-то на уровне 10 минут.

🔒Безопасность и надёжность.

clear удаляет голосовухи с сервера бота. Бекапов нет. ФС сервера - в ramdisk. Наговорил, скомпилил - забери себе, не растягивай проект на неделю. Сервер не стабилен, падает раз в неделю с переналивом всей OS с нуля. У админа доступ ко всем голосовухам (как у админы телеграм к личкам), но чаще падает сервер с данными, чем админу охота покопаться. Если придёт майор с бутылкой - всех сдадим, но рамдиск (может быть уже нечего). Метаданные о пользователях не собираем, спамить не будем - даже БД нет. Точнее, есть, но в рамдиске. Если сервер не отвечает, то он либо сдох и ему скоро автоматически нальют образ по вотчдогу, либо занят компиляцией чьего-то проекта - отправь команду info и подожди. Устраивать DoS и хакерство с отправкой гиговых видосов и фоток не надо: бот даже не начнёт качать. В целом, наверное вы можете его положить, но мы просто пнём сервак и он забудет всё плохое в жизни, рамдиск же.

https://t.me/voicemixbot в общем.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии4

Задал вопрос про безопасность MAX? Получи бан!

На днях вопрос безопасности мессенджера MAX снова всплыл в новостях. Как я понял, изначальным источником стала новость о результатах Bug Bounty, в рамках которой принимались отчёты о проблемах безопасности (на Хабре об этом тоже писали). Видимо, эта новость распространялась как-то не так. В связи с чем в Positive Technologies вышел пост с комментарием на эту тему. Этот пост был репостнут в канале "Заметки VMщика" с комментарием (ссылка на комментарий):

Хейтеры понесли статистику по багбаунти MAX с комментариями “посмотрите, какой MAX уязвимый”. 🤦‍♂️🤷‍♂️ Пипл хавает.

Я задал вопросы к этому комментарию:

  • "MAX устранил уязвимости и сделал это быстрее, чем ими воспользовались злоумышленники" - Это чья позиция: платформы багбаунти? Откуда у платформы эта информация? Разве проверка фикса уязвимости и уж тем более вопросы использования уязвимостей злоумышленниками - задача платформы?

  • Почему бы не раскрыть данные какие были уязвимости? Раз их всё равно уже нет (исправили). Тем более некоторые компании так делают (подробнее в статье Опыт zVirt на Standoff Bug Bounty: какие уязвимости нашли и как мы их исправили)

  • Или платформа багбаунти просто транслировала позицию МАХ? А была ли верификация этой информации, учитывая, что позиция разработчиков МАХ в вопросах безопасности вызывает вопросы. Например, по ситуации со странными запросами и доступам к части файлов.

После чего мой комментарий в канале исчез. А сам я оказался заблокирован. И вот тут интересен момент. Автор этого канала нередко выступает модератором в дискуссиях на конференциях по кибербезу. Что можно узнать из его другого канала "Управление Уязвимостями и прочее" (пост раз, пост два).

Что же такого было в моих вопросах, раз они вызвали настолько болезненную реакцию у человека, опытного в дискуссиях по кибербезу? И можно ли трактовать эту ситуацию иначе, чем борьба с инакомыслием? Интересно: сколько ещё каналов разных блогеров-безопасников могут так же однобоко подавать MAX (в стиле: "о MAX - хорошо или никак")?

UPD: 15.04.2026 автор каналов "Заметки VMщика" и "Управление Уязвимостями и прочее" сделал пост со своим видением ситуации (спасибо @ancotirза наводку). Скриншот прикладываю ниже. Видимо, автор считает, что не нужно читать\анализировать исходный пост перед репостом в свой канал (даже когда он используется как обоснование его позиции). Перефразируя старый мем (см мопед не мой, я просто разместил объяву): пост не мой, я просто репостнул.

UPD_2: дополнил свой пост комментарием. Я не противник MAX. Я против однобокой подачи информации (в целом - любой тематики). Автора канала продолжаю читать - там иногда есть для меня полезные вещи (но, читая - помню: ангажированность не исключена).

^
^
Теги:
Всего голосов 57: ↑53 и ↓4+53
Комментарии15

Бойтесь Данайцев, ПО приносящих

Ситуация с сервисами, которые вроде как не запрещены в России, но замедлены, породила новые опасности для информационной безопасности. Так как блог мы ведём в первую очередь для наших пользователей, то напомним о «граблях» в приложениях, вроде как облегчающих жизнь.

Telegram — тот редкий случай, когда компания раскрывает код клиентской части, что позволяет сторонним разработчикам делать «форки» — версии, которые работают с основным сервисом, но могут иметь дополнительные функции. Одним из таких приложений стала «Телега», которая обещала спокойную работу с замедленным Telegram. Вот только первое же расследование показало, что трафик она отправляет на сторонние серверы, а возможно, ещё и читает сообщения (в норме этого не должно быть). Скоро сервис Павла Дурова опомнился и стал помечать аккаунты, которые используют сторонние клиентские приложения. А потом магазины приложений удалили «Телегу» как потенциально опасную.

Финал истории? Нет, во-первых, «Телега» по-прежнему рекламируется в выдаче как безопасный мессенджер — не все же читают новости по кибербезопасности. Наверняка у вас стоят расширения к браузеру, которые облегчают жизнь. Но в любой момент добросовестный разработчик может продать их, и неизвестно, кто получит доступ к вашим данным.

Любое приложение может быть небезопасным. И проверки в магазине приложений не всегда выявят бэкдоры, через которые хакеры получат доступ к нему. Но ещё хуже с приложениями, которые вы скачиваете напрямую из интернета. Каждый раз стоит помнить, что механизмы защиты любой ОС имеют свои пределы.

Приложения крупных производителей тоже могут иметь уязвимости: Apple в марте 2025 года предупредила о критической уязвимости в своей хвалёной iOS. Но, в отличие от мелких производителей, большие компании имеют возможность анализировать новое ПО, искать в нём уязвимости и предлагать патчи для их устранения.

Так что помните, что безопасность не обеспечена по умолчанию: стоит внимательно относиться к используемым сервисам и читать наш канал, чтобы узнавать о самых серьёзных опасностях (и самых больших возможностях) мира технологий.

Теги:
Всего голосов 17: ↑17 и ↓0+29
Комментарии2

Что это был за черновик и как он стал рекламой онлайн-казино

В пятницу тысячи (не преувеличиваем) каналов поделились сообщением, которое начиналось с красной надписи черновик: — а точнее, с трех эмодзи, которые ее и составляли. После нее каналы, в том числе крупных и известных брендов, соревновались в юморе: кто интереснее подаст свой черновик. Мы — в том числе 😅

На первый взгляд — безобидный флешмоб. На деле — тысячи каналов бесплатно прорекламировали онлайн-казино, сами того не подозревая. Рассказываем, как это получилось.

1️⃣ Когда вы создаете пак эмодзи в Telegram, его можно назвать как угодно. Предположим, «Котики». Вы добавляете туда прикольные картинки с котятами, делитесь с друзьями, потом это подхватывают каналы — и вот ваши котики везде.

Но у владельца эмодзи-пака есть возможность переименовать его в любой момент. То есть, например, когда он уже установлен у тысяч пользователей и им продолжают делиться, название может внезапно измениться на «Котики — не очень, песики — огонь». При этом короткое имя (ссылка на добавление пака) остается тем же.

2️⃣ В пятницу так и произошло. Пак из трех эмодзи изначально назывался просто «ЧЕРНОВИК», его начали активно распространять по каналам — копировать и вставлять, не подозревая о планируемом скаме.

Спустя время он был переименован в «ЧЕРНОВИК [упоминание канала] (ПОДПИШИСЬ)». Упоминаемый канал принадлежит некому «социальному казино» (как они сами себя называют), которое якобы бесплатно раздает деньги, но на самом деле через различные шаги уводит на платформу стандартного онлайн-казино. За несколько дней этот канал собрал несколько тысяч подписчиков. Всего за счет трех эмодзи.

3️⃣ Некоторые каналы (и мы, спасибо читателям) обратили на это внимание и заменили паки на собственные. Наш мы так и назвали — «безопасный» (кстати, его установили себе около 20 пользователей, а сколько установили оригинальный — загадка). Другие каналы, узнав об этом, удалили публикации или эмодзи в них.

4️⃣ Чего не произошло, а могло бы. Помимо того, что у паков можно обновлять названия — в них можно менять и сами эмодзи, а также добавлять новые. На примере котиков из начала объяснения — заменить их всех на песиков 🐈 —> 🐕 (сильно не переживайте, в уже размещенных эмодзи котики останутся, изменения будут только в новых публикациях). А дальше у кого на что хватит фантазии — вплоть до размещения фишингового QR-кода, состоящего из эмодзи.

💡 Такие механики — наглядный пример того, как даже без взлома можно использовать доверие аудитории в своих целях. Поэтому перед публикацией любого хайпового контента стоит оценивать риски, даже если на первый взгляд все выглядит безобидно (для себя тоже выводы сделали).

Теги:
Всего голосов 11: ↑10 и ↓1+10
Комментарии1

Сегодня впервые за 6 лет обновили докер образ MTProxy, версия 2 бета.

Интересно, что-то намечается или нет, но работает так себе в последнее время.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии1

🛫 Чем грозит новая уязвимость в Telegram

Все началось с того, что 26 марта в реестре проекта Zero Day Initiative (одной из наиболее авторитетных независимых платформ по раскрытию уязвимостей) появилась запись о новом критически опасном недостатке безопасности в мессенджере Telegram. Его обнаружил исследователь Майкл Деплант (aka izobashi).

Пока что детали не раскрываются: по правилам площадки после появления информации об уязвимости у Telegram есть 120 дней на ее исправление. Поэтому все подробности станут известны лишь 24 июля. Но сделать некоторые предположения можно уже сейчас.

🗣 Что известно об уязвимости

Ее посчитали критически опасной — 9,8 по шкале CVSS 3.1. Такую оценку можно объяснить указанным вектором атаки: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Это расшифровывается так: атака сетевая, воспроизводится легко, без дополнительных условий, получения привилегий (прав в системе или учетной записи) и взаимодействия с жертвой. При этом возможна полная утечка данных или критически важной информации, а киберпреступник может получить к ним максимальный доступ и нарушить целостность (например, модифицировать).

👾 Чем она может быть опасна

Основываясь на векторе ошибки, Александр Леонов, ведущий эксперт по управлению уязвимостями PT ESC, предложил два возможных варианта ее эксплуатации.

В обоих случаях злоумышленник в начале атаки может отправить жертве специально подготовленный зараженный медиафайл (стикер). После того как пользователь просмотрит сообщение со стикером, киберпреступник может:

✅ получить полный доступ к пользовательскому аккаунту Telegram, включая переписку;

✅ выполнить вредоносный код на устройстве, на котором установлено приложение Telegram, и полностью его скомпрометировать.

🛡 Как защититься

Наши эксперты советуют отключить автозагрузку всех медиафайлов в мессенджере и, по возможности, пользоваться веб-версией вместо мобильного или десктопного приложения.

Если вы опасаетесь стать жертвой злоумышленников, можно включить режимы для безопасной работы мобильных приложений — iOS Lockdown Mode и Android Advanced Protection Mode. Кроме того, не забывайте своевременно обновляться. А в случаях, когда подозреваете, что устройство уже скомпрометировано, сбросьте его до заводских настроек.

🤔 Что говорят в Telegram

В самом Telegram наличие уязвимости отрицают, заявив, что ее эксплуатация через зловредный стикер невозможна, так как все стикеры проходят проверку безопасности на стороне сервера.

Так что ждем июля и полного раскрытия информации, а пока на всякий случай соблюдаем правила кибербезопасности.

Теги:
Всего голосов 3: ↑3 и ↓0+4
Комментарии1
1
23 ...