Загадочные сессии в Telegram у российских журналистов.
Три российских журналистов обнаружили у себя активные сессии в веб-версии Telegram, хотя уверяют, что не заходили в мессенджер через браузер.
Во всех случаях IP-адрес, с которого был совершен заход, не совпадал с реальным местоположением журналистов. Один находится в Германии, заход у него был якобы из Швейцарии, другой — тоже в Германии, но заход был из города, в котором он никогда не был. В третьем случае журналистка находилась в России, не использовала vpn, но зашла якобы из США.
У меня есть одно возможное объяснение появлению этих сессий — помимо взлома, который они почему-то не заметили. Есть у вас есть своя версия — пишите.
Какое-то время назад пользователи заметили, () что в Telegram есть возможность . Перейдите по ссылке web.telegram.org из Telegram на вашем телефоне в браузер — и у вас автоматически откроются ваши чаты.
Два важных замечания: иногда автологин происходит со второго раза (нужно еще раз попробовать зайти), на Mac’е и Linux у некоторых автологина не происходит.
Иногда автологин происходит с реального IP, на котором вы сейчас сидите, иногда — с IP другого города или даже другой страны.
В ссылке, которая генерируется при переходе из приложения, есть уникальный токен. Я несколько раз копировал ее и пытался зайти в браузер на совершенно другом устройстве, но ни разу у меня не получалось. Но Михаил Климарев предполагал, () что силовики могут попробовать скопировать хэш из ссылки (например, получив физический доступ к телефону при проверке на границе), а потом зайти в ваш Telegram, когда им нужно.
Но как на телефонах вышеупомянутых журналистов случился автологин в веб-версии, если они, по их уверениями, не переходили по ссылке web.telegram.org? Могло ли это произойти по ошибке, например, во время сбоя в Telegram, когда траффик перенаправлялся в обход обычных путей?
Баг это или фича, но с точки зрения безопасности подобный автологин выглядит довольно сомнительным удобством.
Нажмите, чтобы раскрыть...
