LINUX.ORG.RU

А вот и секьюрность в вашей телеге подъехала

 ,


0

4

Если что то по фотке можно найти номер и прочую информацию о вас. Фотка не важна, важно чтобы она была. На хабре во всю мусолят, там с технической точки расписано. Now, let's begin the срач. Защитники телеги и её основного бага с номером телефона в тред приветсвуются.

https://habr.com/post/422687/

★★★★★

что и требовалось доказать :)

по идее все остальные говно-мессенджеры прибитые гвоздями к телефону точно так же сливают данные.

invy ★★★★★ ()

Какой фотке? Написал бы сразу, что по фотке учётки, которая аватарка.
Уязвимость в том, что телеграм по номеру телефона отдаёт аватарку, и с другой стороны телеграм по логину тоже отдаёт аватарку. Перебрав достаточно телефонов можно найти с аватаркой интересующего пользователя.

boowai ()

Я, конечно, телеграм не особо люблю, но

Мы подбираем номер телефона к логину через фото.
Если фото, которое выдал нам телеграм, когда мы добавили случайный номер в телефонную книгу, Совпало с фото пользователя, которого мы добавили по логину ранее, то мы узнали номер этого пользователя.
Некий брут номера телефона юзера по фото.
Фото — как пароль. Подобрав его, узнаем и номер

наличие таких какеров о нём точно ничего плохого не говорит.

dogbert ★★★★★ ()

Телега не нужна! Паеподелия - попахивают! Tox и Retroshare - во все поля!

PexuOne ()
Ответ на: комментарий от dogbert

Прикол не в этом. Иногда мошенникам без разницы кого разводить, например, по телефону чтобы позвонить и попытаться состричь денег типа полиция или коллекторы или ещё кто-то. Но надо занть ФИО абонента, год рождения и т.д.. Часть инфы можно найти в социалочках. А чтобы найти лохов можно просто поискать по номеру телеги не зная точный номер абонента (сколько там циферок втентакль скрывает столько и перебрать).

peregrine ★★★★★ ()

Мне в телеге чего и нравилось всегда так это относительно адекватный интерфейс. Был бы jabber клиент с таким интерфейсом(и был бы кто в джаббере собственно), нафик та телега не нужна бы была.

А, если перейти к корню проблемы - почему в телеге и вайбере столько народу? Ибо регаешься по номеру телефона, и по нему же находишь знакомых мгновенно. Я думаю, запили кто адекватный клиент с такой возможностью хоть для xmpp хоть для matrix, после небольшого пиара оно вполне бы себе взлетело. Вопрос в расширении протокола, который позволял бы шарить свой номер по желанию. Ну и оставить свободу выбора сервера, для «продвинутых» пользователей.

Другое дело - в такой схеме некуда зонд вставлять => нет денег на юзабилити спецов, поддержку и развитие.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

Riot мобильный умеет по номеру находить, но выглядит страшненько пока.

Valeg ★★★ ()
Ответ на: комментарий от Valeg

страшненько

Проблема в том, что они зачем-то придумали свой дизайн. А он неимоверно плох, мягко говоря. Сейчас хотя бы с проприетарщиков скопируют — и на том спасибо.

commagray ★★★★ ()
Последнее исправление: commagray (всего исправлений: 1)
Ответ на: комментарий от pon4ik

Вопрос в расширении протокола, который позволял бы шарить свой номер по желанию. Ну и оставить свободу выбора сервера, для «продвинутых» пользователей

Ага, а потом все популярные публичные серверы будут посылать тех, кто не изъявил желание шарить свой номер

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

А вот и разъём под зонд. Зато получим годный клиент, который до определённой версии будет уметь в православный протокол. Привет skype.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

Ну, в Matrix как раз твоя хотелка уже реализована: номер телефона, мыло и прочее являются сущностью под названием «3PID», который сугубо опционален и стягивается с сервера идентификации. Оно так же, как и остальные мессенджеры, умеет сканировать номера локальных контактов на наличие аккаунта на каком-нибудь сервере.

Сейчас есть опция отключения 3PID, но дизайн протокола идёт в такую сторону, где внешний логин будет основным идентификатором, а внутренний — секретным, так что обратная опция будет в самом скором будущем.

commagray ★★★★ ()
Ответ на: комментарий от pon4ik

который до определённой версии будет уметь в православный протокол

И это, кстати, уже тоже реализовали в Matrix. Сейчас запилили костыль с названием «room versioning», с помощью которого для комнаты (конференции) можно задать минимальную версию протокола для соединения. Так как у нас грядёт скорое ломание совместимости, эта штука обеспечит работоспособность только актуальных серверов.

commagray ★★★★ ()

Год назад уже паниковали по поводу слива телегой номеров. Тогда же я спрашивал про то же самое.
Ничего нового. Секурности там и не было никогда.

yacuken ★★★★ ()

А с каким мессенджером так нельзя сделать (Из тех, что требуют телефон, конечно же)? И как у телеги сесурность относительно их?

Deleted ()

Смешно то, что нормальные люди даже и не начинали этим говном пользоваться.

cheetah111v ()
Ответ на: комментарий от Deathstalker

Desktop-client-java, а я уже обрадовался и рисовал в голове радужные картины как я товарищей туда пересаживаю.

pon4ik ★★★★★ ()
Ответ на: комментарий от Deathstalker

Не, идея то зачётная, но с клиентом беда. Java - мне совесть не позволит людей таким на десктопе кормить. Pidgin - много движений слишком, да и интерфейс там из нулевых.

pon4ik ★★★★★ ()
Ответ на: комментарий от Deathstalker

Так то на основе xmpp и sip уже давно есть sfb, который почти хорош, а может, уже и совсем хорош. Но он только под офтопик и вообще немного для других дел.

Kontalk - классная идея, но лучше бы они уж на электроне клиентов делали.

pon4ik ★★★★★ ()

Приватность о которой заявляет Пашка - не пострадала. Мой логин в телеге это чьё-то имя и фамилия, но в любом случае это не секрет т.к. симка по паспорту. Аватарка далека от моего фото. В итоге: баг есть, но приватность моей переписки в секретном чате не пострадала. Так что вброс ни о чём.

Promusik ★★★★ ()
Ответ на: комментарий от peregrine

Втентаклем не пользуюсь, а потобную инфу много где сострич можно и не обязательно мудохаться с 20к номерами в телеге

Promusik ★★★★ ()

ФСБграм заходите базарю безопасно секурно приватно
дырявое решето сливает данные и телефонные номера во все стороны

Паша молодец.

entefeed ☆☆☆ ()

Вроде пофиксили недавно. Надо б потестить.

UPD. Пофиксили отображение номера, поэтому сравнение по аватарке.

gadfly ★★ ()
Последнее исправление: gadfly (всего исправлений: 1)
Ответ на: комментарий от just_a_brake

Если не смотреть на интеграцию с голубем, то тем что туда проще простых смертных подсаживать в теории.

pon4ik ★★★★★ ()
Ответ на: комментарий от just_a_brake

Голубь есть pidgin, и привлекает он тех кто любит сидеть в n сетях с одного интерфейса. А привлекает - простота старта нового пользователя в дефолтном клиенте. Сам я эту поделку даже не ставил, просто порадовался факту, что мою идею кто-то уже воплотил. Но расстроился, что её воплотили на java.

pon4ik ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)