Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности

В последние дни среди протестующих в Гонконге появилась паника в связи с тем, что по каналам распространяется заявление о наличии методов у полицейских по определению телефонных номеров пользователей Telegram. Команда Дурова дала ответ на это заявление. На ситуацию обратил внимание alizar, пользователь Habr.

Для того, чтобы получить телефонные номера пользователей, сотрудники правоохранительных органов генерируют контакт-лист с тысячами телефонных номеров по порядку. Далее они добавляются в группу протестующих из Гонконга, после чего мессенджер показывает, какие пользователи из контакт-листа уже присутствуют в группе. Данная схема легко автоматизируется для перебора большого количества телефонных номеров:

Скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку. Далее добавляется в группу протестующих. Telegram сообщает, какие пользователи из контакт-листа уже есть в группе. Скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера, — пишет пользователь alizar.

По данным самих активистов, таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках мессенджера запрет на пока телефонного номера. Несколько специалистов из области информационной безопасности проверили информацию об эксплоите в Telegram:

Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы, — заявил Чу Ка-Чонг, директор Интернет-общества Гонконга.

Ка-Чонг также подчёркивает, что были подозрения по факту того, что некоторые спонсируемые правительством злоумышленники воспользовались наличием ошибки для вычисления протестующих в Гонконге. При этом специалист уверил, что Telegram сейчас является основным способом коммуникации, поэтому отказаться от него будет крайне сложно.

Что говорят в команде Telegram?

По обращению издания ZDNet команда Дурова изучила вопрос. В компании опровергают наличия существующего бага, фактически указывая на то, что это заранее продуманная функция с предустановленными мерами защиты для предотвращения подобных случаев. В Telegram подчеркнули, что по факту импортировать удалось лишь 85 контактов, а не 10 000:

У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют, — заявил представитель Telegram.

Ситуация несколько схожа с недавним расследованием «Медузы», в котором издание описало процесс деанонимизации владельца канала «Товарищ майор» — в этом «Медузе» помогла программа «Инсайдер Telegram», разработанная в АНО «Центр исследований легитимности и политического протеста»:

Сейчас в базе программы — больше 10 миллионов номеров. Мы просто проверяем на наличие в телеграме все телефоны подряд: берем, допустим, все номера, которые начинаются с +7911 — и от нулей до девяток прогоняем всю эту номерную емкость. Вы ведь автоматически видите у себя в телеграме контакты тех пользователей, которые внесены в вашу телефонную книжку на смартфоне? Ну а мы просто вносим в свою очень толстую «телефонную книжку» всех пользователей страны.