27 декабря 2024

eur = 104.23 -1.02 (-0.97 %)

btc = 95 624.00$ -2 812.19 (-2.86 %)

eth = 3 331.65$ - 132.31 (-3.82 %)

ton = 5.76$ -0.13 (-2.22 %)

usd = 99.87 -1.74 (-1.71 %)

eur = 104.23 -1.02 (-0.97 %)

btc = 95 624.00$ -2 812.19 (-2.86 %)

Форум

В Telegram нашли уязвимость, позволяющую искать номера пользователей по юзернейму

3 минуты на чтение
В Telegram нашли уязвимость, позволяющую искать номера пользователей по юзернейму

Специалисты российского «Центра исследований легитимности и политического протеста» создали сервис для определения номеров телефонов пользователей Telegram по юзернейму. Разработчики планируют использовать его для помощи правоохранительным органам и спецслужбам.

IMAGE-2018-06-06-12_32_03-2

Предыстория

До сих пор считавшийся анонимным мессенджер перестаёт быть таковым.

Программисты «Центра исследований легитимности и политического протеста», разработав некий уникальный сервис с названием «Криптоскан», дали возможность правоохранительным органам установить личность абонента, которые перед этим запрашивают информацию у операторов связи. Эксперты утверждают, что новая технология может быть полезна в поиске преступников:

Мы проанализировали API (часть программного интерфейса приложения, — прим. «Код Дурова») и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей, — рассказал Евгений Венедиктов, руководитель центра.

Как описывают специалисты, суть нового сервиса заключается в том, что программа направляет запрос, содержащий юзернейм, в Telegram, и далее приложение выдаёт следуюшие данные пользователя — ID и номер телефона, фамилию и имя.

Для уверенности в работоспособности системы журналисты «Известий» попросили показать работу «Криптоскан» в действии на одном из своих редакторов. Утверждается, что номер телефона совпал, а имя и фамилия — нет, так как в мессенджере пользователь может придумать себе любой псевдоним, не указывая достоверные данные.

Если удастся деанонимизировать пользователей, у правоохранительных органов появится больше возможностей вычислять нарушителей закона, — считает Евгений Корчаго, член совета по взаимодействию с институтами гражданского общества при председателе Совета Федерации.

Почему всё не так красиво, как утверждают специалисты?

Пункт первый.

Начнём с того, что изначально сам Telegram уверяет, что никто не может получить доступ к номеру телефона просто так. Если пользователь знает юзернейм другого пользователя — ему это не поможет получить номер в следующих случаях:

  • собеседники переписывались в одном чате (секретном в том числе);
  • собеседники переписывались в одной группе.

Получить номер пользователя можно только в том случае, если у отправителя уже есть в контактах SIM-карты номер телефона. Это работает также, как и при отправке SMS-сообщения.

Пункт второй.

Достаточно легко поверить в реальную схему некой деанонимизации пользователей, например:

  • закупается огромная база российских номеров;
  • происходит ввод этих номеров в контакты;
  • в итоге генерируется список действующих аккаунтов Telegram, привязанных к тем или иным номерам.

Вот только есть одно НО. Специалисты утверждают, что новый сервис будет использоваться для, например, поиска преступников, которые активно занимаются распространением информации о продаже наркотиков через чаты.

Возникает следующий вопрос: даже если законодательство Российской Федерации предполагает за собой продажу SIM-карт по паспорту, то почему подобные преступники будут заниматься такими покупками? Ни для кого не секрет, что в Интернете существуют куча сервисов, позволяющих покупать «левые» номера: как российские, так и зарубежные.

Преступникам выгодно приобретать «левые» номера как раз по причине того, что так просто гораздо легче. Ясно ведь, что злоумышленникам явно необходимо покупать несколько номеров, — аккаунты могут часто блокировать, например.

Стоит отметить, что преступники уже давно вышли на новый уровень обеспечения своей безопасности: в Telegram часто можно встретить рассылки, в которых пользователям предлагают продать запрещённый товар не через личные чаты, а через боты.

Так кого же спецслужбы будут искать?

Не понятно, зачем вообще публично заявили о некой уязвимости. Если она действительно существует, то логично предположить скорейшее исправление ситуации разработчиками мессенджера. Если сотрудники спецслужб и правоохранительных органов перед публичным заявлением уже успели воспользоваться сервисом, то, вероятно, далее его полезность исчезнет.

Чтобы использовать возможную уязвимость себе в пользу, например, для открытия какого-либо уголовного дела, то путь спецслужб к человеку по схеме «аккаунт Telegram — звонок в дверь», — достаточно длинный:

  • спецслужбы производят запуск системы;
  • получают номер телефона, привязанный к аккаунту;
  • отправляют запрос к оператору для получения всех данных, известных по полученному номеру: информация о звонках, местоположение, на кого зарегистрирован номер и т.д.

Всё это должно происходить на законных основаниях, поэтому на данный момент не стоит переживать, что уже сейчас спецслужбы с помощью Telegram знают, кто вы и где вы находитесь.

Ждём официальных заявлений со стороны представителей Telegram.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
699df249-2906-4a13-a69b-0c3b530b015e-изображение-069efeb35-d913-4f32-a123-964691d9b021-изображение-1f026f58f-b1da-4981-993d-9a8761dd6fd6-изображение-2

GigaChat Max: коротко о главном

Продажи российского аниме-хоррора MiSide превысили 700 тысяч копий

Полная версия 
f309a13a-81ef-4f53-920f-3ee51d25a450-изображение-0

GigaChat Max: коротко о главном

Роскачество начнёт проверять компьютерные игры на манипулятивные механики вытягивания денег

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 305
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131