- PVSM.RU - https://www.pvsm.ru -

Telegram всё-таки спрячет телефонные номера пользователей

Telegram всё-таки спрячет телефонные номера пользователей - 1
Мужчина с фотографией Павла Дурова на митинге в Москве против ужесточения государственного контроля над интернетом (март 2019 года). Фото: Шамиль Жуматов / Reuters

На прошлой неделе протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности [1]. Это вызвало настоящую панику, потому что Telegram является основным мессенджером для координации протестов. Раньше считалось, что он сохраняет конфиденциальность.

Сначала представители Telegram объясняли, что никакого бага нет: всё так специально задумано. Но под влиянием общественности дыру всё-таки решили закрыть.

Пока что о закрытии уязвимости не объявлено официально, но на официальной платформе переводов [2] для интерфейса Telegram замечена специфическая строка для перевода [3]:

Telegram всё-таки спрячет телефонные номера пользователей - 2

Как видно на скриншоте, в интерфейс добавлена опция PrivacyPhoneNumberSettings.CustomDisabledHelp [4] со следующим описанием: Users who add your number to their contacts will see it on Telegram only if they are your contacts («При добавлении вашего номера в свои контакты пользователь увидит вас в Telegram только в том случае, если он присутствует в вашей телефонной книге»).

Эта настройка эффективно закрывает вышеописанный эксплоит с утечкой конфиденциальных данных и защищает пользователя от деанонимизации таким способом.

Пока же функция не активирована — и в Telegram номера пользователей не скрываются от посторонних, как показано на скриншоте ниже.

Telegram всё-таки спрячет телефонные номера пользователей - 3
Установка «Никто» по-прежнему позволяет посторонним узнать ваш номер телефона, если они добавят его в свою телефонную книгу

В данный момент не совсем понятно, будет ли новая настройка включена по умолчанию. Но если принять во внимание бизнес-интересы компании Telegram [5], это маловероятно. Компании выгодно стимулировать рост социального графа вирусным способом, то есть через контакт-листы и телефонные книги пользователей. Это главная причина, почему Telegram максимально широко транслирует номера телефонов и другие конфиденциальные данные.

Хотя на словах компания заботится о конфиденциальности, но такие действия показывают, что истинные интересы фирмы в другом, а некоторые пользователи, которые верят основателю компании, могут заблуждаться.

В течение двух ближайших месяцев [6] бесплатный мессенджер Telegram станет базой для платформы TON и криптовалюты Gram, под которую собрано 1,7 миллиарда долларов [7] по программе предварительной продажи. Для успеха криптовалюты было очень важно набрать критическую массу пользователей. Telegram пытался привлечь максимально широкую аудиторию вирусным способом, в чём и преуспел.

«Криптоскан»

Эксперты давно предупреждали, что нельзя доверять мессенджеру, который требует обязательного указания номера телефона при регистрации. На самом деле ещё в августе 2018 года стало известно о российской программе «Криптоскан» [8], которая перебором 1 миллиарда номеров [9] осуществляет деанонимизацию пользователей Telegram в России, Украине и Казахстане.

О существовании программы «Криптоскан» в августе 2018 года первой сообщила государственная газета «Известия» [10]. Она написала, что софт разработали программисты «Центра исследований легитимности и политического протеста»: «Мы проанализировали API (часть программного интерфейса приложения) и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей», — рассказал руководитель центра Евгений Венедиктов.

По словам Евгения Венедиктова, Центр исследований легитимности и политического протеста уже начал искать пользователей по запросу МВД и ФСБ.

Активисты в Гонконге более подробно описали этапы для деанонимизации пользователей: 1) скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку, 2) добавляется в группу протестующих, 3) Telegram сообщает, какие пользователи из контакт-листа уже есть в группе, 4) скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера.

Telegram всё-таки спрячет телефонные номера пользователей - 4

Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров. Возможно, подобные методы уже давно используют российские спецслужбы.

Автор: alizar

Источник [11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/deanonimizatsiya/328428

Ссылки в тексте:

[1] обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности: https://habr.com/ru/news/t/464855/

[2] официальной платформе переводов: https://translations.telegram.org/ru/ios/

[3] замечена специфическая строка для перевода: https://tginfo.me/more-privacy/

[4] PrivacyPhoneNumberSettings.CustomDisabledHelp: https://translations.telegram.org/ru/ios/unsorted/PrivacyPhoneNumberSettings.CustomDisabledHelp

[5] бизнес-интересы компании Telegram: https://habr.com/ru/news/t/464855/#comment_20547897

[6] В течение двух ближайших месяцев: https://www.nytimes.com/2019/08/27/technology/telegram-cryptocurrency-gram.html

[7] 1,7 миллиарда долларов: https://www.nytimes.com/2018/03/04/technology/telegram-initial-coin-offering.html

[8] «Криптоскан»: https://dailystorm.ru/obschestvo/vseobshchiy-deanon-chto-izvestno-o-programme-po-poisku-lyudey-v-telegram

[9] 1 миллиарда номеров: https://pasmi.ru/archive/240330/

[10] сообщила государственная газета «Известия»: https://iz.ru/769085/anzhelina-grigorian/deanonimnyi-telegram-v-populiarnom-messendzhere-nashli-uiazvimost

[11] Источник: https://habr.com/ru/post/465327/?utm_campaign=465327&utm_source=habrahabr&utm_medium=rss