Påstået Telegram-sårbarhed udsætter telefonnumre

Moderne tids instant messengers spiller en afgørende rolle i samfundet. Takket være den enorme vækst i sociale medier og stigningen i bekymringer om privatlivets fred bevæger flere og flere sådanne platforme sig mod ende-til-ende-kryptering, hvilket overbeviser support til anonymitet og støtter ytringsfriheden.

Påstået Telegram-sårbarhed udsætter telefonnumre

Telegram: En af de mest populære IM'er

Den russiske iværksætter Durov-brødre grundlagde Telegram, som nu er et kendt navn blandt menneskerettighedsaktivister over hele verden. Selvfølgelig kan du oprette din egen ukrudtskanal ved at bruge de omfattende funktioner til beskyttelse af personlige oplysninger, men lad os holde det til side for nu.

Telegram kræver, at brugerens telefonnummer opretter og (eventuelt) godkender deres konti. Det kan være muligt at skjule telefonnummeret fra din kontoinfo, men der er en fangst!

Spørgsmål: Hvem kan se mit telefonnummer?

På Telegram kan du sende beskeder i private chats og grupper uden at gøre dit telefonnummer synligt. Som standard er dit nummer kun synligt for personer, som du har føjet til din adressebog som kontakter. Du kan yderligere ændre dette i Indstillinger> Privatliv og sikkerhed> Telefonnummer.

Bemærk, at folk altid vil se dit nummer, hvis de allerede kender det og gemmer det i deres adressebog.

Påstået Telegram-sårbarhed udsætter telefonnumre

Tilsyneladende kan dette design bruges til at omgå fortrolighedsvæggen for Telegram-ejere, især i følsomme scenarier. En useriøs bruger kan tilføje en masse sekventielle numre i telefonbogen. Bagefter kan de forbinde det med en offentlig kanal og synkronisere kontaktoplysningerne.

Gæt du allerede kan spekulere i resultatet. Telegram giver angriberen alle kontaktoplysninger for de enheder, hvis nummer er på listen efter synkronisering. Hvis den skurk er et retshåndhævende organ, er det et barns leg at finde personen bag dette nummer.

En designfejl i Telegram kan udnyttes til at afsløre personlige identificerbare oplysninger via telefonnumre. Fejlen opdages af demonstranter fra Hong Kong.

Det værste mareridt! (Kilde)

Demonstranterne fra Hongkongs anti-udleveringsregning er for det meste afhængige af Telegram på grund af fordelene som massiv skalerbar Supergrupper og privatlivets faktorer. Fejlen blev først opdaget i LIHKG, et populært online forum destination for beboere i Hong Kong.

Telegram Påstået Telegram-sårbarhed udsætter telefonnumre

Uafhængige sikkerhedsforskere bekræftede også angrebsvektoren, og der er ingen nem måde at lappe den uden at kræve baggrundslogikken for selve chatten. I tilfælde af demonstranter fra Hong Kong tilrådes de at bruge SIM-kort til brænder, da det ikke er muligt at skifte til en anden platform.

1. Alice, en Telegram-bruger, er i en offentlig gruppe ved navn CommonsGroup

2. Alice ønsker ikke, at nogen skal se sit telefonnummer i Telegram. Så hun skjuler sit telefonnummer i Telegrams privatlivsindstillinger. (Privatliv> Telefonnummer> Ingen)

3. Mallory, angriberen, ønsker at afsløre medlemmernes reelle identitet i CommonsGroup.

4. Mallory tilføjer et stort antal telefonnumre sekventielt til adressebogen på sin telefon, forudsat at Alice's telefonnummer er på listen. (vi har testet at tilføje 10.000 telefonnumre)

5. Mallory synkroniserer sine kontakter med Telegram

6. Mallory slutter sig til CommonsGroup (som er offentlig)

forventet resultat

Alice's telefonnummer vil aldrig blive vist i Telegram-gruppens info, fordi hun har indstillet telefonnummeret til privatlivets fred til Ingen.

Faktisk resultat

Mallory kan se Alice's telefonnummer i gruppeinfo. I teorien, hvis Mallory tilføjer nok telefonnumre, kan hun afdække telefonnummeret til alle medlemmer i offentlige grupper. Det er en reel trussel for os, fordi pladsen til telefonnummer i Hong Kong er begrænset

I dette øjeblik ønsker Telegram ikke at kalde situationen så 'bug', da deres officielle FAQ forklarer begrænsningen af ​​telefonnummerets skjulingsfunktionalitet.

Påstået Telegram-sårbarhed udsætter telefonnumre

For et par måneder siden led Telegram af et statsstøttet DDoS-angreb. Angiveligt var der en stærk sammenhæng mellem dette angreb og Hong Kong-protesten. Situationen er langt mere kaotisk denne gang, da demonstranternes liv kan blive bragt i fare.

Facebook Twitter Google Plus Pinterest