Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
Источник: roem.ru
Как установить пароль на вход в приложение Telegram для Android
Telegram отлично подходит для обмена сообщениями между людьми и большими группами. Вы можете добавить дополнительный уровень безопасности в Telegram, используя код доступа или отпечаток пальца. Вот как защитить сообщения Telegram паролем на Android.
Telegram имеет систему блокировки паролем, которую необходимо настраивать на каждом устройстве индивидуально. Код доступа не синхронизируется между Вашими устройствами и не связан с Вашим аккаунтом Telegram. Если Вы забыли пароль, Вам придется удалить и переустановить приложение Telegram.
Разработчик: Telegram FZ-LLC
Цена: Бесплатно
Если это произойдет, Вы вернете все свои чаты Telegram, кроме секретных чатов. Сообщения удаляются, поскольку они не синхронизируются с серверами Telegram, а хранятся локально на устройстве.
Защитить сообщения Telegram паролем на Android
Чтобы установить пароль на вход в приложение Telegram для Android, откройте приложение Telegram, затем нажмите кнопку меню в верхнем левом углу.
Здесь выберите вариант «Настройки».
Теперь выберите «Конфиденциальность».
В разделе «Безопасность» нажмите «Код-пароль».
Активируйте переключатель «Код-пароль», чтобы включить эту функцию.
Затем создайте четырехзначный пароль. Затем введите его еще раз, чтобы сохранить пароль.
Вы увидите, что функция «Разблокировка отпечатком пальца» включена по умолчанию. Вы можете отключить ее, если не хотите разблокировать с помощью отпечатка пальца.
По умолчанию Telegram автоматически блокируется через час. Вы можете нажать на опцию «Автоблокировка», чтобы изменить время с 1 минуты до 45 часов.
Когда закончите, нажмите кнопку «Готово», чтобы сохранить.
Если Вы хотите заблокировать приложение Telegram вручную, коснитесь значка блокировки на экране «Чаты».
Теперь, когда Вы снова откроете приложение Telegram, Вы сначала увидите возможность разблокировать приложение с помощью отпечатка пальца.
Но Вы можете закрыть этот экран и использовать вместо него пароль, если хотите.
Источник: android-example.ru