Темно-серая зона экосистемы Telegram16.12.2020 20:17

В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:

  1. свободный «наркотрафик»;
  2. открытое пиратство;
  3. удручающая bug «bounty».


О своём опыте вы можете поделиться в комментариях к статье.

Свободный «наркотрафик»


В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи Fake GPS Location). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО подпортили репутацию самого мессенджера: повсюду создали наркогеографию.

Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а также пожаловался волонтерам ТП в ожидании «расстрела», но расстрела не последовало, никто не удосужился «перезарядить винтовку», уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало.

image
Этот процитированный отрывок выше из моей конкурсной работы 2019 года.

Со времен видимой и невидимой борьбы прошло ни много ни мало времени —1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой «блицкриг»: сократительный огонь по беззаконникам.

Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram.

xnmuufsyxqabbddo3ykrozotgag.jpeg
Декабрь 2020 года

Подобная политика Telegram распространяется не только на «наркотрафик», но и на другие сомнительные услуги:

Проституция
zrvx15vdonrz02okrueud06s17m.jpeg


Перепродажа персональных данных
uwv7ovlcifuzgqokc0btoxurrt4.jpeg


Фальшивки
zvokswidstgauxbmnalqc_pucj0.jpeg


Открытое пиратство


В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на «подобное» использование и распространение.

Вчера на Хабре вышла по этому поводу новость

«Европейская комиссия опубликовала новый список ресурсов, которые способствуют пиратству и могут получать от него выгоду. Он включает ресурсы, расположенные за пределами ЕС. Впервые в отчете фигурируют Telegram и «Вконтакте».


Из самого отчета, перевод.

А) «Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorità per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте.

Б) «Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях»

Правда?

Пример реальной истории с которой я столкнулся, злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq

tfjkm6hofmaijd9zakmmqyfyeo8.png

Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я «их» пингую, но безрезультатно.

Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например, Gitlab проверил факты и удалил не только пиратские материалы за ± 48 часов, но и заблокировал учетку мошенника (теперь) без возможности восстановления.

Удручающая bug «bounty»


Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находил в экосистеме Telegram баги и фичи.

Для наглядности сравним описание программ bug bounty Telegram с каким-нибудь open source проектом, например, Veracrypt.

x5btweiw9trfzrzoxg3xg38quc4.png
hackerone.com/telegram? type=team

Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам «сколько, за что и в какой валюте». Описание всей программы bug «bounty» за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg.

xfwsiwzf1-fzqgwm5kkkigokhoy.png
hackerone.com/ibb-veracrypt? type=team

Вы также можете сравнить программу bug bounty Telegram с другими поощряющимися программами и убедиться сами в том, что первую составляли по эксцентричному принципу.

О баге


Пример недавнего бага, который я зарепортил на security@telegram.org, пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на «жульничество» со стороны Telegram, а не на уязвимость.

Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) «удаленному» контенту в сети Telegram.

Кейс: для примера возьмем канал на котором регулярно появляется пиратский контент. Вручную найдем такую плашку, которую оставляет Telegram «удаляя» этот самый контент.

k0p2laseee-ruckl3hjnsadjqlq.png
»This message couldn’t be displayed on your device due to copyright infringement.»
t.me/freedomf0x/6842

Данная плашка (через инструмент: поиск по каналу — не ищется), это такая своеобразная «защита двух коней» от мессенджера. Плашка означает, что на этом месте находился «вредоносный контент». Через app «удаленный» контент недоступен.

Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на «файлы» и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться тот самый пиратский контент.

Подробный пример кейса на видео ниже.


Почему же это больше похоже на «жульничество»? Я думаю, что Telegram в курсе всей этой вакханалии, положение вещей на данный момент времени руководство просто устраивает: «Ну как бы мы защитили контент, ведь не каждый пользуется Desktop версией через которую «удаленный контент» вытягивается без каких-либо проблем».

Или вот другой пример.

Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать — это (переиграть систему): добавить бота в свой приватный чат и дать разрешение «администратора», после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом.

hztjwm5e9_a6hn75z3wmy_g1rng.png
Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений.

Вывод


За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, который борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду «сомнительных услуг» на своих мощностях.

Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают.

© Habrahabr.ru