В последние дни среди протестующих в Гонконге появилась паника в связи с тем, что по каналам распространяется заявление о наличии методов у полицейских по определению телефонных номеров пользователей Telegram. Команда Дурова дала ответ на это заявление. На ситуацию обратил внимание alizar, пользователь Habr.

Фото: GETTY IMAGES

Для того, чтобы получить телефонные номера пользователей, сотрудники правоохранительных органов генерируют контакт-лист с тысячами телефонных номеров по порядку. Далее они добавляются в группу протестующих из Гонконга, после чего мессенджер показывает, какие пользователи из контакт-листа уже присутствуют в группе. Данная схема легко автоматизируется для перебора большого количества телефонных номеров:

Порядок деанонимизации протестующих полицией Гонконга
Скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку. Далее добавляется в группу протестующих. Telegram сообщает, какие пользователи из контакт-листа уже есть в группе. Скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера, — пишет пользователь alizar.

По данным самих активистов, таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках мессенджера запрет на пока телефонного номера. Несколько специалистов из области информационной безопасности проверили информацию об эксплоите в Telegram:

Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы, — заявил Чу Ка-Чонг, директор Интернет-общества Гонконга.

Ка-Чонг также подчёркивает, что были подозрения по факту того, что некоторые спонсируемые правительством злоумышленники воспользовались наличием ошибки для вычисления протестующих в Гонконге. При этом специалист уверил, что Telegram сейчас является основным способом коммуникации, поэтому отказаться от него будет крайне сложно.

Что говорят в команде Telegram?

По обращению издания ZDNet команда Дурова изучила вопрос. В компании опровергают наличия существующего бага, фактически указывая на то, что это заранее продуманная функция с предустановленными мерами защиты для предотвращения подобных случаев. В Telegram подчеркнули, что по факту импортировать удалось лишь 85 контактов, а не 10 000:

У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют, — заявил представитель Telegram.

Ситуация несколько схожа с недавним расследованием «Медузы», в котором издание описало процесс деанонимизации владельца канала «Товарищ майор» — в этом «Медузе» помогла программа «Инсайдер Telegram», разработанная в АНО «Центр исследований легитимности и политического протеста»:

Сейчас в базе программы — больше 10 миллионов номеров. Мы просто проверяем на наличие в телеграме все телефоны подряд: берем, допустим, все номера, которые начинаются с +7911 — и от нулей до девяток прогоняем всю эту номерную емкость. Вы ведь автоматически видите у себя в телеграме контакты тех пользователей, которые внесены в вашу телефонную книжку на смартфоне? Ну а мы просто вносим в свою очень толстую «телефонную книжку» всех пользователей страны.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!