Мессенджер Telegram , позиционирует себя, как приложение предоставляющее пользователю повышенную безопасность. Однако скрупулёзная работа энтузиаста, помогла выявить три серьезных проблемы в безопасности, одного из самых безопасных мессенджеров.
Давайте разберем данные «дыры» более подробно:
Исследователь в области безопасности, который известен на Habrahabr под псевдонимом w9w, поведал миру об обнаруженных им уязвимостях в Telegram.
Простой способ ПРОСЛУШКИ И СЛЕЖКИ за любым человеком! Как установить прослушку за женой, мужем и др
w9w выяснил, что ссылки вида t.me могут вести пользователя на фишинговые сайты , а приватные чаты, вовсе не приватны. Также статьи в Telegraph , издательском сервисе, который тесно интегрирован с Telegram, может редактировать кто угодно.
Уязвимость с редактированием чужих сообщений, касается издательского сервиса Telegraph . Данный сервис разработала команда мессенджера и Павел Дуров в 2016 году. Исследователь провел анализ HTTP -запроса, отправляемого на сервера Telegraph и пришел к выводу, что для редактирования любой статьи, нужно знать только уникальный идентификатор. Этот идентификатор можно найти в HTML-коде страницы с этой статьей.
Для защиты от подобного рода атак, обычно используется сверка токена (случайного набора байт), генерируемого сервером. В случает с Telegraph , данные меры по защите не применяются, как и иные способы защиты.
Далее уязвимость была обнаружена в приватных чатах. В процессе тестирования стороннего ресурса, который взаимодействует с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере. Данный ресурс дает платные советы и консультации на тему криптовалюты. Функции «советника» на одном из каналов выполнял Telegram-бот. Бота можно было подключить, перейдя по ссылке вида t.me/Another_bot?start=CODE, где CODE – секретная последовательность символов, связанная с учетной записью пользователя на сайте. Решив проверить «чувствительные» данные в URL на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram .
Сформировав, как его называют «дорк» ( Google Dork Query – специальный запрос в поисковой системе (site:t.me inurl:Another_bot?start=), исследователь с удивлением обнаружил, личный код того самого ресурса о криптовалютах в публичном доступе. Таким образом, на t.me отсутствует запрет на индексацию конфиденциальных данных.
Самый простой скрытый доступ к смарту жены
Исследователь утверждает, что причиной этого является отсутствие файла robots.txt в корневом каталоге ресурса, связанного с доменом t.me. Данный файл широко используется различными веб-мастерами для задания параметров индексирования ресурса. Применив этот файл можно запретит поисковику индексировать определенные разделы веб-сайта, что полностью исключит возможность их появления по результатам поиска. Если сформулировать правильный запрос в Google , то можно найти 5 миллионов ссылок на чаты.
Исследователь отметил, что при помощи простого запроса вида site:t.me join, можно без проблем попасть в закрытые группы Telegram . Получается их приватность сводится на нет.
Как утверждает исследователь, он много раз обращался к разработчикам с сообщениями о найденных им уязвимостях. На сегодняшний день исправлена лишь уязвимость с раскрытием ссылок.
Источник: rottenswamp.ru
Как узнать, что о вас известно Telegram. Прямо сейчас
Будучи пользователем многочисленных интернет-сервисов и мессенджеров, вы вправе знать, что каждому из них известно о вас.
Подобная функция теперь есть и у Telegram. История переписки, отправленные фотографии, аудиозаписи — представители мессенджера подтверждают, что хранят эти данные на своих серверах.
В этом материале мы расскажем, как узнать, что именно хранится на удаленных жестких дисках Telegram и получить всю информацию о себе за то время, что вы пользуетесь мессенджером.
Почему доступ к личным данным открыли только сейчас?
С 25 мая 2018 года на территории Евросоюза вступил в силу Общий регламент по защите данных (GDPR). Согласно тексту постановления все граждане, проживающие и временно пребывающие в ЕС, должны иметь контроль над собственными данными.
Проще говоря, любой интернет-сервис, социальная сеть или мессенджер обязаны предоставить пользователю информацию о тех данных, что хранятся на серверах.
Не выполнять закон учредители подобных сервисов не могут — штрафы очень велики. За несоблюдение закона предусмотрены выплаты до 20 млн евро или до 4% от годового мирового оборота компании за предыдущий финансовый год. Зависит от того, что больше.
После вступления регламента в силу разработчики добавили в свои продукты соответствующие инструменты по экспорту данных. Появилась подобная функциональность и у Telegram.
Рассказываем, что о вас знает мессенджер от Павла Дурова и Ко, а заодно приведем подробную инструкцию экспорта личных данных из базы Telegram.
Как узнать, какую информацию о вас хранит Telegram
По случаю принятия GDPR, разработчики Telegram еще в конце мая запустили специального бота. Правда, заработал он только 28 июня, получив функцию экспорта данных.
Шаг 1. Первое и главное условие: вам нужен клиент Telegram Desktop версии 1.3.8 и выше. Экспорт пока возможен только с его помощью.
Шаг 3. В открывшемся чате введите сообщение:
P.S. Взаимодействие с ботом может и не потребоваться. Инструмент экспорта доступен в Настройках мессенджера.
Шаг 4. Открываем Настройки Telegram и находим пункт Экспорт данных из Telegram.
Шаг 5. В открывшемся списке помечаем галочками те пункты, которые вас интересуют.
Какие данные можно экспортировать
В настройках экспорта Telegram Desktop можно задать ограничение по размеру для мультимедийных файлов, выбрать Фотографии, Видеозаписи, Голосовые сообщения, Стикеры, Анимации и т.д.
Вот список доступных для экспорта данных:
- Информация об аккаунте — данные о вашем профиле
- Список контактов — Telegram не скрывает, что хранит данные о ваших контактах, но только после того, как вы разрешили этой действие при первом запуске приложения
- Личные чаты — пользовательская переписка в режиме диалога
- Чаты с ботами — переписка с ботами, сервисными и служебными аккаунтами
- Частные группы, частные каналы, публичные группы, публичные каналы
- Фотографии
- Видеозаписи
- Голосовые сообщения
- Круглые видеосообщения
- Стикеры
- Анимации GIF
- Файлы — любые вложения с возможностью установки ограничения по размеру вплоть до 1,5 ГБ
- Активные сеансы — с помощью этого пункта можно узнать о запуске Telegram на всех ваших гаджетах
- Другие данные — экспорт пока работает в Бета-режиме и, похоже, что разработчики добавят еще несколько пунктов
В конце списка настроек экспорта есть возможность выбора директории для сохранения и формат финального файла. Предпочтительнее будет оставить HTML.
Шаг 6. Нажимаем Экспортировать и ждем 24 часа (возможно, чуть меньше).
Шаг 7. На следующий день вам придет уведомление об окончании подготовки файлов для экспорта.
Теперь можно приступить к экспорту прямо из появившегося уведомления.
Что сохраняется при экспорте
В принципе все, что вы указали при настройках экспорта.
Разложены они по нескольким папкам. Есть сводка по полученным результатам экспорта. Все чаты разделены по папкам, каждая папка — это чат с конкретным пользователем. Внутри много HTML файлов с именами по хронологии (от старых сообщений к новым).
Есть все фотографии, видео и аудио, которыми вы обменивались с пользователями за все время использования Telegram.
По сути, есть абсолютная вся информация, которой вы обменивались в мессенджере.
Сколько весит такая база
Тут все очень относительно. Я лишь приведу частный пример своего экспорта.
В настройках указывал Фото, текст, не отмечал публичные каналы и частные чаты. Активно пользуюсь Telegram с середины 2016 года.
На выходе получил 3 770 файлов объемом 348 МБ.
Стоит ли бояться Telegram
Экспорт в Telegram позволяет увидеть реальную картину и просмотреть всю личную информацию, которая хранится на серверах мессенджера. Для удобной навигации по окончанию экспорта создается специальный HTML-файл Exported Data.
Он ссылается на всю полученную информацию.
Мне удалось выяснить, что на серверах Telegram хранятся:
- 799 контактов из моей адресной книги
- 53 контакта, с которыми я хотя бы раз переписывался в Telegram
- 73 чата
- 1 удаленный чат
- 1 фото профиля
Ну и вся коллекция фотографий, видео и аудио, которыми я обменивался с этими контактами.
Для успокоения в том же файле есть приписка от разработчиков:
Здесь все данные, которые вы запрашивали. Напоминаем, что мы не используем информацию о вас для рекламы, не продаем ее другим и не принадлежим какой-либо «группе компаний».
На серверах хранится только та информация, которая позволяет вам полноценно пользоваться Telegram. Например, благодаря облачным чатам вы имеете доступ к своей переписке с любого устройства без использования сторонних бэкапов, а синхронизация контактов позволяет вам находить в Telegram тех, кого вы уже знаете.
В принципе, все правдоподобно и не вызывает подозрений. ЕС учредила слишком высокие штрафы, чтобы нарушать регламент GDPR.
А если волнение за сохранность личной информации вас все же не покидает, в настройках Telegram есть замечательный пункт «Автоматическое удаление аккаунта». Можно попробовать, а вдруг поможет.
(8 голосов, общий рейтинг: 4.63 из 5)
Хочешь больше? Подпишись на наш Telegram.
Источник: www.iphones.ru