На Telegram обнаружена очередная успешная атака27.08.2016 06:48

The penetration in the Telegram accounts begins with an SMS: Investigators register its own device in the account of the suspect, whereupon Telegram of the target person sends an SMS with an authorization code. The BKA can intercept this and promptly use due to the existing TKÜ: Investigators enter the verification code and register as their own device. Thus, the BKA is the account of the suspect.

Now could the investigators all private text messages, voice messages, picture and video messaging, in addition to the separately encrypted, so-called «secret chats», see: «Incoming messages are automatically transmitted from the server of the service provider to the BKA-terminal», puts it in a note of the BKA. But not only that: all past messages, provided that they are still stored on the server, will be displayed for the investigators. The function that the BKA does here advantage is a regular Telegram feature and should actually increase convenience for users with multiple devices: It enables the owner of an account can simultaneously on multiple devices access-to on his Telegram chats example, send messages not only on your phone, but also on their own iPad or computer and receive.

Как видно из описываемой техники, правоохранителям удалось зарегистрировать новое устройство для существующего аккаунта Telegram путем перехвата SMS-сообщения с кодом активации. После чего им удалось получить доступ ко всему содержимому данных указанного аккаунта, включая, переписку. Так как Telegram не использует E2E шифрование по умолчанию, указанные пользователи не использовали этот опциональный режим, что послужило фактором раскрытия переписки.

Комментарии (2)

• ChALkeRx

  27 августа 2016 в 00:17 (комментарий был изменён)

  +5

  ↑

  ↓

  Их основная проблема не в этой «уязвимости» и не в этой атаке, а в том, что они делают слишком громкие заявления о «безопасности» своего клиента (вы только их главную посмотрите), «забывая» несколько оговорок:

  
  

  • Для «безопасности» всем поголовно стоит включать 2fa, потому что смс не является безопасным методом аутентификации.
  • Не секрет-чаты не являются безопасными, то есть — не более безопасными как и любой другой c2s-s2c мессенджер с шифрованием между клиентом и сервером и хранением логов на стороне сервера.
  • Секрет-чаты являются безопасными только при ручной сверке отпечатков, который там запрятан за верхнюю плашку, причём о необходимости проведения этого телеграм при старте секрет-чата не напоминает.
  • Оно всё в любом случае безопасно не более чем сам ваш телефон (как аппарат, не протокол) и не более безопасно чем магазин приложений (он в подавляющем большинстве ситуации может в любой момент пушнуть вам клиент с закладкой, если очень захочет). Это, впрочем, для массового пользователя нерешаемая проблема.

  
  

  Хотя примерно такими же громкими заявлениями (с кучей сносок, оговорок и пояснений, запрятанных подальше) сейчас страдают все популярные мессенджеры, просто телеграм орёт об этом больше всех.

  • avost

    27 августа 2016 в 06:01

    +1

    ↑

    ↓

    Любым инструментом можно пользоваться неправильно. Если обезьяна забивает микроскопом гвозди, проблема ли это микроскопа? Нужно ли обвешивать микроскоп ярлычками — при забивании гвоздей крепко держитесь за тубус, перед нанесением удара по гвоздю переведите блок объективов в положение офф, после забивания гвоздя не забудьте протереть окуляр и надеть на инструмент чехол?
    Не знаю почему вы это считаете именно их проблемой, а не проблемой пользователей, которые не понимают что делают. У меня даже стало появляться ощущение, что они это сознательно делают. Для отделения «агнцев от козлищ», тскзть… Или, там, тупые преступные группировки помогать разоблачать…