Telegram небезопасен! Телега сливает логи.

[INC.]

Компания "Интернет-Розыск" закончила разработку альфа-версии продукта, предназначенного для установления личности пользователя анонимного мессенджера Telegram.

Продукт "Телеграм-Деанонимайзер" позволяет:
собирать неизменяемые данные пользователей мессенджера;
устанавливать личности пользователей по всему миру;
собирать данные о примерном местоположении и языковой группе пользователя мессенджера;
проверять активность и принадлежность номера телефона, использованного для регистрации аккаунта Телеграм.

Продукт "Телеграм-Деанонимайзер" собирает информацию:
1. Номер мобильного телефона пользователя
активность номера телефона
примерное местоположение мобильного устройства
вероятный пользователь мобильного телефона
Имя пользователя, указанное в мессенджере
Фамилия пользователя, указанная в мессенджере
ID, неизменяемый идентификатор пользователя
Логин, юзернейм, псевдоним пользователя
Используемое устройство (модель, операционная система)
Местоположение устройства (по внешнему IP-адресу)
Системный язык устройства (языковая группа пользователя


• Source: securitylab.ru/blog/company/CABIS/345785.php

 

[Admin]

Отделил в отдельный тред. Тема заслуживает отдельного обсуждения. Все любители телеги почему-то пропустили мимо ушей. Для начала, чтобы все понимали, компания "Интернет-Розыск" - достаточно серьезный игрок в рунете, занимаются корпоративной безопасностью. Так что новость не фейковая.

 

[utkows]

Ниче, Паша патч выпустит и все нормально будет.
Спойлер

 

[utkows]

А если серьезно, каким образом они собираются узнавать тот же номер телефона, если он допустим скрыт настройками приватности?

 

[c4n3k]

utkows сказал(а):
А если серьезно, каким образом они собираются узнавать тот же номер телефона, если он допустим скрыт настройками приватности?

баги есть везде

 

[Aldesa]

utkows сказал(а):
А если серьезно, каким образом они собираются узнавать тот же номер телефона, если он допустим скрыт настройками приватности?

Пожалуйста, обратите внимание, что пользователь заблокирован

Номер телефона телеграмма вычисляется просто (почти).
Я при необходимости вычислял номер телефона так:
Сделал около 2000 телеграмм аккаунтов (sms сервисы), далее добавлял в контакт листы все возможные номера телефонов, которые зарегистрированы (с +7), и именно операторов (несуществующие отсеял). В итоге я не смог добавить все номера (ограничение телеги стоит), но нужного человека номер я узнал.

 

[CyberBrodyaga]

Да в его анонимность только махровые до сих пор верят.
Недавно общался с одним персонажем крутящимся среди приближенных к жопе императора. Так даже они, лидю далекие от IT не используют телегу, перешли все на сигнал. Говорит, что единственный мессенджер, по которому нету судебной практики.

 

[F0xman]

Отсюда вопрос. Как максимально обезопаситься, если по определенным причинам телеграм необходимо использовать?

 

[zxc21]

F0xman сказал(а):
Отсюда вопрос. Как максимально обезопаситься, если по определенным причинам телеграм необходимо использовать?

Как минимум пустить трафик через тор и вообще, нах регать телегу на свой номер ...

 

[JohnRipper]

Тем, кто непосредственно и активно работает в сфере OSINT, поисков, деанонов и всего такого прочего - давно известно то, о чем говорит Компания "Интернет-Розыск". Буду говорить кратко, а именно: "Интернет-Розыску" удалось наладить сопоставление peer_id и номера телефона. Очень странно, что это им удалось только сейчас, когда телеге семь лет в обед.
И, вобщем-то, разрозненная информация по данной теме давалась на Хабре. Её вполне достаточно, чтобы путём небольшого полёта фантазии додумать до готового решения.
И как сказал админ, я также могу подтвердить, что это абсолютно не фейк))

Ну и насчёт закрытия дырок. Насколько я осведомлён - данная проблема в телеге является нерешаемой, т.е. она на уровне архитектуры. А там будем поглядеть, что скажет Пашок.

 

[CEEED777]

Пожалуйста, обратите внимание, что пользователь заблокирован
Меня п**дец как бесит, что телега стала такой популярной к карж кругах, ничему жизнь не учит.

Почему бы админам всех крупных форумов не запретить юзать телегу в коммерческих целях?

 

[INC.]

некоторые еще вон аськи юзают

 

[Lescer]

CyberBrodyaga сказал(а):
Да в его анонимность только махровые до сих пор верят.
Недавно общался с одним персонажем крутящимся среди приближенных к жопе императора. Так даже они, лидю далекие от IT не используют телегу, перешли все на сигнал. Говорит, что единственный мессенджер, по которому нету судебной практики.

У хакерши с татуировкой дракона тоже был Signal во второй части ))) Они наверное там увидели) Сигнал как бы тоже привязан к номеру) Такие мессенджеры только для "привет-пока, как жизнь молодая?" )
А если уж сильно хочется что-то на мобилу поставить, тогда Токс.

 

[CyberBrodyaga]

Lescer сказал(а):
Сигнал как бы тоже привязан к номеру) Такие мессенджеры только для "привет-пока, как жизнь молодая?" )

Так тебя никто не принуждает регистрировать на свой номер. Сим-карты продают во многих подземных переходах, на любом вещевом рынке, радио рынке и прочих местах. Естественно под это дело нужна и мобила отдельная, иначе вообще смысл теряется.
Я сам лично сигнал не использовал и это не было рекомендацией. Как говорится "за что купил - за то продал", отписал для начала дискуссии, может кто-то изучал этот вопрос и поделится своим мнением.

 

[Lescer]

CyberBrodyaga сказал(а):
Так тебя никто не принуждает регистрировать на свой номер. Сим-карты продают во многих подземных переходах, на любом вещевом рынке, радио рынке и прочих местах. Естественно под это дело нужна и мобила отдельная, иначе вообще смысл теряется.
Я сам лично сигнал не использовал и это не было рекомендацией. Как говорится "за что купил - за то продал", отписал для начала дискуссии, может кто-то изучал этот вопрос и поделится своим мнением.

Причём здесь на свой или не на свой ? А номер, купленный в ларьке-переходе не пеленгуется ?)

 

[CyberBrodyaga]

Lescer сказал(а):
Причём здесь на свой или не на свой ? А номер, купленный в ларьке-переходе не пеленгуется ?)

Очевидно, что выход с этого телефона и этой симки в gsm сеть больше не следует осуществлять. Все это нужно было для регистрации (можно и через смс сервис зарегистрировать, но это сомнительный вариант). Далее например можно использовать десктопную версию клиента.

 

[Eject]

CyberBrodyaga сказал(а):
Очевидно, что выход с этого телефона и этой симки в gsm сеть больше не следует осуществлять. Все это нужно было для регистрации (можно и через смс сервис зарегистрировать, но это сомнительный вариант). Далее например можно использовать десктопную версию клиента.

Ну и каждые пол года еще юзать телефон. (или через сколько там номер уходит другому владельцу!?)

 

[Raskolnikov]

Хм, раз зашла тема про мессенджеры, что скажите за wickr? Давно заметил, что многие, кто промышляет чернухой используют его.

 

[CyberBrodyaga]

Eject сказал(а):
Ну и каждые пол года еще юзать телефон. (или через сколько там номер уходит другому владельцу!?)

Это да, я не совсем точно выразился, имел ввиду не использовать трубку и симку в постоянном режиме. Выход в сеть конечно будет, для 2FA, для других регистраций и так далее, делать это конечно нужно не дома лежа на диване.
Суть мысли была в том, что наличие регистрации по номеру телефона, не означает невозможность использовать сервис анонимно.

 

[forbidden]

F0xman сказал(а):
Отсюда вопрос. Как максимально обезопаситься, если по определенным причинам телеграм необходимо использовать?

Использовать PGP, возможно, OTR (если доработать функционал. При первом варианте всё просто, но цена простоты заключается в том, что можно доказать факт общения определённых лиц. В случае с OTR данную связь никак доказать нельзя.