Всем привет обитатели VLMI и сегодня я расскажу вам достаточно известную проблему телеграма.
Большинство источников утверждает что это не является критичиской уязвимостью и тд, но я, заботясь о вас собираюсь поднять уровень паранойи людям который работают в тени.
Сначала предлагаю разобратся как работает система пользователей нашего любимого месседжера.
У каждого пользователя есть свой уникальный ID к которому привязаны ваше имя пользователя, идентификатор с аватаркой и описанием профиля аля:
Так-же существует вторая ситуация:
(Закрашен номер телефона)Такое происходит когда человек есть в телефонной книге юзера.
А теперь очень просто: создаем телефонную книгу с 5.503 милионом контактов (что, к слову, является населением Финляндии)
Естественно наверное будет сложно создать такую обширную телефонную книгу, поэтому русские спецслужбы придумали чекер:
В ходе работы, чекер, используя пул добавленных аккаунтов (к которым есть доступ), выполняет запрос Telegram API «добавить контакт» и передаёт несколько сотен номеров, подобранных из очереди таким образом, что бы выглядеть легитимной записной книгой. В ответ Telegram возвращает массив с ID тех, кто зарегистрирован в телеграме и чекер дополняет базу -[{телефон:telegram ID}].
Таким образом, информация из публикации Meduza свидельствует о том, что у «Центра исследований легитимности и политического протеста» работает такой же чекер. И в их базе вы скорее всего уже есть.
Я бы не сказала что это уязвимость, но очевидно о заявленной анонимности речи даже идти не может. Есть куча предложений о том как это можно исправить, ибо это не техническая уязвимость, а концептуальная, но нашему любимому Паше, который разыгрывал концерт с ключами шифрования это не нужно. Почему? Это уже додумывайте сами
Всем кто ложится спать желаю спокойного сна!
Большинство источников утверждает что это не является критичиской уязвимостью и тд, но я, заботясь о вас собираюсь поднять уровень паранойи людям который работают в тени.
Сначала предлагаю разобратся как работает система пользователей нашего любимого месседжера.
У каждого пользователя есть свой уникальный ID к которому привязаны ваше имя пользователя, идентификатор с аватаркой и описанием профиля аля:
Так-же существует вторая ситуация:
(Закрашен номер телефона)Такое происходит когда человек есть в телефонной книге юзера.
А теперь очень просто: создаем телефонную книгу с 5.503 милионом контактов (что, к слову, является населением Финляндии)
Естественно наверное будет сложно создать такую обширную телефонную книгу, поэтому русские спецслужбы придумали чекер:
В ходе работы, чекер, используя пул добавленных аккаунтов (к которым есть доступ), выполняет запрос Telegram API «добавить контакт» и передаёт несколько сотен номеров, подобранных из очереди таким образом, что бы выглядеть легитимной записной книгой. В ответ Telegram возвращает массив с ID тех, кто зарегистрирован в телеграме и чекер дополняет базу -[{телефон:telegram ID}].
Таким образом, информация из публикации Meduza свидельствует о том, что у «Центра исследований легитимности и политического протеста» работает такой же чекер. И в их базе вы скорее всего уже есть.
Я бы не сказала что это уязвимость, но очевидно о заявленной анонимности речи даже идти не может. Есть куча предложений о том как это можно исправить, ибо это не техническая уязвимость, а концептуальная, но нашему любимому Паше, который разыгрывал концерт с ключами шифрования это не нужно. Почему? Это уже додумывайте сами
Всем кто ложится спать желаю спокойного сна!
