Как обойти двухфакторную авторизацию в Telegram? И почему безопасность WhatsApp, Signal и Telegram равна?

Николай Костинян на странице ain.ua объяснил ^[1], что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.

В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали ^[2], якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы ^[3] следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru

Какую информацию получит взломщик после взлома того или иного мессенджера?

• WhatsApp: никакую, «голый» аккаунт.
• Signal: никакую, «голый» аккаунт.
• Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
• Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.

Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:

• … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
• Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
• Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
• Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения

Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.

Дополнительно Костинян описал ^[1] то, что во время взлома видит жертва.

Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал ^[4] избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:

Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.

P. S. Популярнейший мессенджер России — Viber. В апреле 2016 года это приложение доказало ^[5], что акцент на безопасности не нужен для завоевания популярности.