Telegram уязвим к хакерским атакам

5 3167

29 апреля 2016г., ночью, неизвестные получили доступ к аккаунту Олега Козловского и Георгия Албурова. Злоумышленник с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor) отправил в Telegram запрос на авторизацию нового устройства с номером телефона Олега и в течении получаса получил доступ к его аккаунту. Через несколько минут аналогичным образом взламывается аккаунт Георгия. По словам Олега, нарушители, получившие доступ к учетной записи Telegram, воспользовались продублированной сим-картой. Они получили SMS с кодом доступа к мессенджеру, в то время как самому владельцу аккаунта такое сообщение доставлено не было (https://xenomorph.ru/soft/messengers/14028-telegram-auth.html).

Взлом Telegram через SS7 эксплойт

Как и в любом другом мессенджере, аккаунт пользователя связан с телефонным номером, что делает возможным использовать SS7 уязвимость сотовых сетей для взлома Telegram. Таким образом, приложение становится удалённым трекером.

Наиболее универсальный и безопасный метод удалённого взлома Телеграмм – перехват сервисного SMS сообщения, содержащего код верификации. Это необходимо для переноса аккаунта жертвы на новое устройство (виртуальный эмулятор, созданный разработчиками). Для этих целей используется одна из распространённых SS7 уязвимостей сотовых сетей. Максимально автоматизированный алгоритм работы сервиса исключает даже минимальное участие со стороны пользователей. Всё, что необходимо для запуска трекера – указать номер телефона жертвы или имя пользователя. Злоумышленник с помощью номера телефона узнает IMSI (международный идентификатор мобильного абонента), перерегистрирует абонента на свой терминал, получает профиль абонента, инициирует на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) — и получает заветную SMS с кодом (https://habr.com/ru/company/pt...).

Взлом Telegram может быть произведён с любого современного устройства (телефона, планшета или компьютера). Основные требования к устройству – наличие одной из актуальных версий браузеров (Google Chrome, Safari, Mozilla Firefox, Internet Explorer, Opera) и стабильного подключения к сети. Время, необходимое на взлом Telegram, может варьироваться, в зависимости от степени загруженности сервера. Как правило, полный цикл работы (с момента запуска, до получения архива), занимает не более 20 минут. Пользователь не получит никаких уведомлений во время перехвата сообщения с кодом верификации. Трекер функционирует в фоновом режиме и никак не влияет на нормальную работу устройства, не может быть обнаружен антивирусом или вредоносным сканером. Лишние процессы в диспетчере задач отсутствуют. Заряд батареи расходуется в обычном режиме. Файлы жертвы сформированы в единый архив и отображают: список входящих и исходящих текстовых сообщений (включая секретный чат), координаты текущего GPS местоположения, историю аудио и видео звонков, полный список сохранённых контактов, полученные и отправленные файлы, а также контент, опубликованный внутри закрытых каналов и групп.

Так же есть статья с пошаговым взломом Telegram с использованием всё того же SS7 (https://www.appmsr.net/index.p...).

Анонимность и технические характеристики

Об анонимности в мессенджере говорить не приходиться. Узнать номер телефона собеседника проще простого. Все контакты из телефонной книги автоматически добавляются в список, любое их действие отображается на экране. Даже время посещения полностью не скроешь ― останутся небольшие пометки.

Написан Telegram на Java для версий на Android, ПК версия - C++. Ботов для Телеграмма пишут на HTML, JavaScript, Python, PHP.

Сервера клиента находятся в пяти разных точках мира. Именно на них хранится вся переписка, именно туда поступают отправляемые сообщения (https://nashkomp.ru/bezopasnos...).

Сервера Telegram уязвимы к DDoS-атакам

В начале июля 2015 года сервера мессенджера подверглись серии масштабных DDoS-атак, вызвавших кратковременный сбой в работе сервиса по всему миру. Через Twitter разработчики Telegram попросили помощи в нейтрализации атаки у телекоммуникационных компаний PCCW Global и Cable & Wireless Comms.

Как заявил сам Павел Дуров, атака могла быть организована конкурентами мессенджера. Исходя из того, что атака на Telegram началась с азиатского кластера, версия Дурова с нападками со стороны конкурентов кажется весьма правдоподобной (https://www.gazeta.ru/tech/201...).

Telegram передает данные ФСБ

Telegram согласился передавать личные данные пользователей по запросу спецслужб — об этом говорится в обновленной политике конфиденциальности мессенджера. При этом блокировка платформы в России продолжается, а Роскомнадзор советует руководству компании вступить во взаимодействие с ФСБ.

«Если Telegram получит решение суда, которое подтверждает, что вас подозревают в терроризме, мы можем раскрыть ваш IP-адрес и телефонный номер соответствующим ведомствам», — говорится в подпункте 8.3, озаглавленном как «Правоохранительные органы».

«В политике конфиденциальности мы оставили за собой право передавать IP-адрес и номер телефона террористов соответствующим службам по решению суда. Такая мера должна сделать Telegram менее притягательной площадкой для тех, кто занимается здесь рассылкой террористической пропаганды», — заявил Дуров (https://www.gazeta.ru/tech/201...).

Альтернатива Telegram

Threema – это популярный в мире безопасный «мессенджер», который защищает ваши данные от хакеров, алчных корпораций и правительственных служб. Приложение Threema можно использовать анонимно, оно позволяет совершать полностью зашифрованные голосовые вызовы и предлагает все функции, ожидаемые от самого современного мессенджера. Веб-версия Threema также позволяет использовать Threema на компьютере.

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

В Signal шифрование включено по умолчанию. Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения (https://xakep.ru/2018/07/03/messengers/).

Qqlite – особенностью данного мессенджера является использование самых современных криптостойких алгоритмов шифрования.

При регистрации не требуется указывать номер телефона или e-mail, что делает данный мессенджер полностью анонимным.

Данные переписки хранятся в течение 10 дней только на сервере, после чего удаляются. Такая система работы позволяет избежать утечки информации, в случае доступа к устройству со стороны третьих лиц.

Имеющийся функционал позволяет передавать текстовые и голосовые сообщения, изображения. К особенностям можно отнести функцию отложенной отправки сообщений, которая заключается в передаче информации пользователю с учетной записью («ником»), незарегистрированной в приложении. После добавления абонента в программу сообщения будут доставлены автоматически.

Россия против Запада: гонка на выживание

Я всегда говорил и буду говорить, что силовые методы во внутренней и внешней политике — последний довод. Не невозможный, не запрещённый, не аморальный, а именно последний.Моральные оцен...

Обсудить
  • > По словам Олега, нарушители, получившие доступ к учетной записи Telegram, воспользовались продублированной сим-картой. Так можно взломать любой личный кабинет банка и украсть оттуда все деньги.
  • > Злоумышленник с помощью номера телефона узнает IMSI (международный идентификатор мобильного абонента), перерегистрирует абонента на свой терминал, получает профиль абонента, инициирует на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) — и получает заветную SMS с кодом Если эта технология пойдёт в серию, тогда авторизация через симку телефона становится полностью уязвимой. Что толку говорить тогда о Телеграм, если таким образом можно потрошить банковские карты и счета? Для повышения безопасности авторизацию придётся проводить не только по номеру телефона, но и по идентификатору IMEI телефона.
  • 1) "воспользовались продублированной сим-картой." - представитель поколения ЕГЭ в курсе КАК дублируют сим-карты ? :stuck_out_tongue_winking_eye: Я вот абсолютно уверен, что НЕТ. Для жителей бронепоезда абисняю: a) у сим-карты IMSI - не является чем-то "секретным", а вот без ключа Ki прилетит птичка обломинго. :stuck_out_tongue_winking_eye: b) сим-карта должна быть ОЧЕНЬ старой, в который защита ключа Ki основана на криптоалгоритме Comp128 v1, в котором существует уязвимость позволяющая брутфорсом найти Ki (во всех ныне продаваемых симкартах эта уязвимость дааавным давно пофиксена - там Comp128 v2 (либо Comp128 v3) плюс счетчик ограничивающий брутфорс). c) Нужен ФИЗИЧЕСКИЙ доступ к такой (выше описанной) симкарте, причем как минимум на полчаса-час. Для того чтобы ее вставить в специализированный картридер подключенный к компу с соответствующей программой (например Voron Scan). То бишь "удаленно" склонировать чужую симку не получится от слов "совсем" и "никак". // кстати у меня в телефоне сидит именно клон-карта моего номера, просто это так называемая мультисимкарта которая может переключатся (из меню телефона) между записанными в нее несколькими симками. Вот тут например: https://www.kaspersky.ru/blog/sim-card-history-clone-wars/10529/ на уровне "для домохозяек" про клонирование сим-карт. Перехватить смс-код авторизации - да, можно, однако для этого нужна ну совсем "мелочь" :joy: - доступ к операторской сети SS7. Это вам не в тапки сцать....., а иметь доступ к системе СОРМ, то бишь "хакеры" должны быть из ФСБ. 2) "Именно на них хранится вся переписка" - в зашифрованном виде она приходит и уходит. Причем шифрование end-to-end то бишь на девайсах пользователей, врЕменными ключами, которые хранятся ТОЛЬКО в оперативке, да и то периодически по таймауту меняются. В телеграмме применен шифрованный протокол обмена MTProto в том числе и для end-to-end шифрования. 3) "раскрыть ваш IP-адрес и телефонный номер" - и ЧЁ :question: :stuck_out_tongue_winking_eye: к содержимому переписки ни у Дурова ни у посторонних доступа нет от слов "никак" и совсем" :stuck_out_tongue_winking_eye: 4) "Сервера Telegram уязвимы к DDoS-атакам" ЛЮБЫЕ сервера (чего угодно) уязвимы для ддоса, ибо засрать канал связи до упора "мусором" можно кому угодно. // аффтар опуса явно не в курсе что такое DDoS :joy: В целом статейка - собрание интернетных сплетен из серии "одна бабка сказала", без понимания внутренних процессов происходящих как в сети, так и внутри телеги. То бишь типичный малограмотный журналистский бред "ни о чем".... P.S. Напомню что телеграм, в отличии от многих "альтернативных" вариантов - с ОТКРЫТЫМ исходным кодом: https://github.com/telegramdesktop/tdesktop то бишь наличие в нем намеренных бекдоров "от автора" исчезающе мала. P.P.S. для жителей бронепоезда пара иллюстраций (хотя крайне сомневаюсь что поймут) о том как оно там в телеге работает:
  • Поправка https://www.appmsr.org/ Так же есть статья с пошаговым взломом Telegram с использованием всё того же SS7 https://www.appmsr.org/vzlom-telegram