Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов "МТСовской" розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от "угона":
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
P. S. Популярнейший мессенджер России — Viber. В апреле 2016 года это приложение доказало, что акцент на безопасности не нужен для завоевания популярности.
Добавить 6 комментариев
Сразу видно матерого автора айфонофила
WhatsApp агрессивно продвигает на андроидах сохранение переписки в облаке Google
Если вы авторизовались в WhatsApp, который уже получил права на доступ к Google, то вы получите и переписку всю. Тёплую, с пылу, с жару.
Интересно, почему стерли мой комментарий, где я писал, что я бы рекомендовал относиться с некоторым недоверием к статьям/авторам по безопасности, не понимающим разницу между авторизацией и аутентификацией (см. в wiki определения).
WhatsApp вроде же получает доступ к гуглооблаку через систему. Если я на пустой телефон поставлю, то он предложит выбрать гугловский аккаунт.
Пользуйтесь такими приложениями как Eleet.im или Threema.ch и вообще вопросов не будет не с безопасностью не с операторами и так далее … Люди сами себя в эти проблемы регистрируют.
Ага, а потом окажется, что Threema успешно разрабатывается BND в сотрудничестве с NSA. Замечательно же будет. Ни исходников никто не видел, ни тех, кто за этим стоит.
Слегка по этому же вопросу есть тут немного:
http://sporaw.livejournal.com/429277.html
Мне интересно а исходники выше упомянутых мессенджеров кто видел ?:))) только не говорить что они есть на гитхабе или где то ))) исходники клиентов есть и только на андройд! но вот сервера нет не у кого … а перехваты и слежки идут на сервера а не на клиенты … а в eleet.im или threema хоть можно спрятаться за ID кстати в Eleet там вообще временные одноразовые создавай и уничтожай … а все что выше упомянуто оно вас по телефону и будет писать и распознавать .