Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам.
Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и подтолкнуть его неосознанно поделиться своими данными — геолокацией и номером телефона.
Вот как это работает:
Сложность системы всегда была врагом безопасности.
Telegram вырос, уже перестал быть просто мессенджером, и дорос до большой медиа платформы с богатым функционалом. Отдельным особняком стоит Telegram Bot API, позволяющее выстраивать целые приложения внутри мессенджера — так называемых ботов.
Скорее всего каждый, кто пробовал создать своего бота, уже знает, что пользователю можно отправить запрос его номера телефона с помощью специальной кнопки.
Текст на этой кнопке можно задать любой. Причём такие же кнопки бот может использовать и для других взаимодействий:
После нажатия на кнопку, пользователю конечно же будет показано предупреждение что сейчас его контакт будет отправлен боту:
Это сообщение довольно однозначно говорит о риске деанонимизации, и предостерегает вдумчивого пользователя от опасных для него действий.
Перебирая обновления API, я вспомнил, что в какой-то момент Telegram дал пользователям возможность делать собственные локализации мессенджера. Были примеры, когда локализацию использовали для шуточных переделок интерфейса. В тот момент мне пришла в голову та же мысль, что и возможно вам сейчас:
А что, если попробовать “шуточно перевести” диалоговое окно, предупреждающее пользователя о передаче номера телефона боту, заменив его текст?
Вначале я думал, что заставить пользователя установить в приложение посторонний xml файл-локализацию будет намного сложнее, чем просто убедить кликнуть на Share contact. Ведь именно так, с помощью xml файла, Telegram предлагал распространять свои локализации среди собеседников.
Так я думал, пока не наткнулся в исходных кодах android приложения на обработчик ссылок setlanguage.
Оказалось, что в Telegram уже давно сделали платформу переводов, translations.telegram.org, доступную для всех пользователей Telegram, и теперь не нужно передавать никаких xml файлов.
Достаточно кликнуть по ссылке t.me/setlanguage/%lang%, после чего пользователь увидит диалоговое окно с запросом установки нового языка. И это окно значительно менее отпугивающее, чем сообщение о запросе номера телефона:
Как это работает?
Добавляем свой язык, переводим нужные нам элементы интерфейса и еще парочку других.
В локализации можно писать все что угодно. Мы напишем безобидный текст вместо ужасного предупреждения о расшаривании геолокации и номера телефона. Проделываем тоже самое для остальных платформ.
Наш ядовитый язык готов. Осталось подсунуть его пользователю.
Мне так и не удалось найти способ узнать установил ли пользователь предложенную ему локализацию. Не нашлось ни статистики языка на translations.telegram.org, ни изменений в профиле пользователя. Bot api позволяет узнать язык пользователя через параметр language_code, но его значение берется из системных настроек. Смена языка в приложении на параметр никак не влияет.
Что ж, тогда просто добавляем небольшую задержку после сообщения с ссылкой на язык. После выбора языка предлагаем пользователю ознакомиться с меню бота. При нажатии Ок в данном диалоговом окне, номер утекает к боту сообщением, а бот это сообщение тут же удаляет. Если бот будет использовать webhook для получения обновлений, то сообщение удаляется быстрее и пользователь возможно и не поймет что он только что отправил свой контакт.
Кстати, аналогично запросу контакта бот может попросить пользователя расшарить его геолокацию. Да, и это диалоговое окно тоже можно “перевести”.
Как исправить
Очевидно нельзя давать возможность пользователям переводить абсолютно весь интерфейс без модерации. Модерация переводов кстати включена для например вот этого диалогового окна translations.telegram.org/rutech/ios/unsorted/AuthCode.Alert. О необходимости модерации нам сообщает метка Critical.
Выходит что вот такое маленькое упущение как отсутствие метки Critical для диалогов о расшаривании номера и геолокации приводят к утечке. Утечке весьма чувствительных данных, как для мессенджера строящего свой маркетинг вокруг privacy/security.
Мессенджер привязаный к вашему личному номеру телефона по определению не может быть приватным. Он может лишь удорожить процесс раскрытия вашей личности.
Данная уязвимость попала в программу bug bounty телеграма и была оценена в 100€.
Источник: habr.com
Как узнать номер телефона в Телеграмме по нику
Как узнать номер телефона в Telegram, если он скрыт: все способы
В Телеграмме конфиденциальность находится на высочайшем уровне, поэтому каждый пользователь может сам настраивать степень защиты аккаунта. В частности, человек может закрыть свой номер телефона от посторонних и оставить возможность связи только по аккаунту. При этому узнать эти сведения через приложение не получится.
В обычном режиме, если человек находится в списке контактов, узнать номер телефона в Телеграмме не составляет труда:
- Войдите в мессенджер.
- Перейдите в раздел «Контакты».
- Жмите на нужного пользователя.
- Кликните на его ник или три точки и «Показать профиль».
Если номер телефона скрыт, можно попробовать позвонить человеку через мессенджер. Но это возможно, если пользователь имеется в контактах.
Инструкция, как посмотреть номер у других пользователей
Теперь о том, как узнать номер собеседника в Телеграме. По умолчанию эти данные доступны людям из списка контактов. Но существуют настройки конфиденциальности, которые позволяют либо открыть его всем, либо вовсе скрыть. Обсудим для начала случай, в котором собеседник не прячется. В таком случае вы либо сразу узнаете интересующую вас информацию, либо вам придётся добиться добавления вас в список контактов. Затем вам следует сделать следующее:
- Открываем информацию о пользователе.
- Здесь в соответствующих графах будут ник и телефон. Но вы, наверняка, хотите не просто посмотреть на него. Скопировать его просто – на компьютере просто кликните правой кнопкой мыши и нажмите на соответствующую кнопку. На телефоне всё решается долгим нажатием.
Как посмотреть номер на компьютере
Telegram гарантирует своим клиентам приватность, но не полную анонимность, благодаря чему многие ограничения можно обойти. Для начала следует запустить мессенджер:
- Открыть переписку.
- Нажать на верхнюю часть сообщений, где указано имя собеседника и статус онлайн.
- На экране появятся сведения о профиле, если человек ранее их передавал.
Для декстопной версии не существует дополнительных способов, которые помогут с решением проблемы. В качестве альтернативного варианта разработчики программы советуют попросить мобильный у человека.
Как в Телеграме посмотреть свой номер?
Сессия в Телеграм длится довольно долго. У вас нет необходимости каждый раз вводить код подтверждения. А распространение своих контактных данных обычно осуществляется по нику. Поэтому, особенно если у вас несколько симкарт или аккаунтов на виртуальные номера, вы можете забыть, на какой именно был зарегистрирован профиль.
Честно говоря, если вы умудрились зарегистрироваться на виртуальный номер в Телеграме, а тем более бесплатный, я просто аплодирую вам стоя: я ждала кода подтверждения полчаса, и у меня ничего не вышло. Посмотреть его очень просто.
На телефоне
- Кликаем по трём горизонтальным линиям в левом верхнем углу экрана;
- Открываем настройки.
- Вторым же пунктом будет «Телефон». Он нам и нужен. К слову, здесь же вы можете узнать ник. Не обращайте внимания на то, что скриншот из Телеграм X – в этом плане этот интерфейс не отличается от обычного приложения.
Через компьютер
Через комп всё ещё проще, я даже не буду писать инструкцию пошагово. Вы просто открываете меню нажатием на три горизонтальные линии в левом верхнем углу. Слева же выедет меню, в верхней части которого будут и номер, и имя.
Определение телефона посредством чат-бота
Свободное распространение контактной информации пользователей, напрямую противоречит основным принципам Telegram. Разработчики стремились создать сервис, который будет максимально защищен от любых нежелательных явлений.
Несмотря на это, в мессенджере можно получить доступ к персональным данным, воспользовавшись специальным чат-ботом. Это микропрограмма, которая собирает пользовательские данные и предоставляет их по запросу. При этом необходимо предоставить боту свои собственные данные. Такой алгоритм позволяет создать обширную базу данных, в которой содержатся данные о пользователя, и эта информация находится в свободном доступе. Это один из способов, позволяющих пробить номер по никнейму.
Порядок действий на примере плагина Телеграм-Деанонимайзер:
В большинстве чат-ботов, для просмотра полной информации о найденном пользователе требуется платная подписка, или другие варианты материального вознаграждения. Тем ни менее, в некоторых случаях, этот способ действительно позволяет найти определенный номер.
Как узнать номер телефона в Телеграм по нику?
В Интернете пишут про Криптоскан. Его разработчики выяснили, что в мессенджере есть уязвимость, используя которую по одному нику можно узнать телефон даже если человек скрыл его. На Ютубе есть несколько видео посвящённой этой системе. На многих показано использование бота.
Но в интернете нет соответствующего сервиса, а в списке ботов такого варианта, который рассматривают в роликах, нет. В поисковой выдаче Телеграм есть только один бот. Но это совсем не обнадёживает – алгоритм работы крайне прост и основывается не на «уязвимости» мессенджера, а на простом создании базы данных – для его использования вам нужно пройти регистрацию. То есть, внести свой телефон в картотеку бота. Так что, на данный момент ответа на вопрос «Как посмотреть скрытый номер в Телеграме?» нет – Криптоскан либо вообще не существует, либо недоступен обычным пользователям.
Источник: ronis-media.ru
Можно ли через телеграмм найти телефон
Будь в курсе последних новостей из мира гаджетов и технологий
iGuides для смартфонов Apple
Как вычислить точное местоположение пользователя Telegram
Александр Кузнецов — 18 февраля 2022, 12:45
В Telegram существует давняя проблема, позволяющая при определённых обстоятельствах определить точное местоположение пользователя. Разработчики Telegram знают о ней, но считают это не багом или уязвимостью, а фичей.
На GitHub приводится подробное описание проблемы, выложены утилиты для её эксплуатации, а также размещён видеоролик, в котором наглядно показано, как с помощью довольно простых манипуляций можно увидеть положение конкретных людей на карте.
Уязвимость существует уже около года, равно как и инструменты для её эксплуатации. Необходимые условия:
- Злоумышленнику известно, в каком городе проживает жертва, которую нужно выследить
- У жертвы включена функция People Nearby («Люди рядом»), позволяющая видеть, кто поблизости использует Telegram
- Жертва разрешила добавить себя в список People Nearby
Проблема усугубляется тем, что Telegram показывает человека с точностью до метра, поэтому триангуляция позволяет очень точно определить, где он находится. Координаты в системе GPS определяется довольно точно, хотя и допускается погрешность в 50 метров. Если бы Telegram округлял расстояние до пользователей до километра, точно вычислить местоположение жертвы было бы невозможно.
Функции, схожие с People Nearby в Telegram, были в Tinder и Line, но эти сервисы отказались от них, когда ИБ-исследователи показали, как и их помощью можно вычислить, где находится конкретный человек. People Nearby используется в Telegram как неофициальный сервис знакомств, и мессенджер не собирается избавляться от этой фичи или вносить изменения в её работу.
Автор утверждает, что эта уязвимость активно эксплуатируется, но не для слежки за людьми, а мошенниками. Они запускают ботов с красивыми девушками на аватарах, а затем «разводят» тех, кто пытается познакомиться с ними. Жертвы видят, будто девушка находится рядом, предлагают встретиться, а бот выманивает у них деньги.
Комментарий пресс-службы Telegram:
Функция People Nearby по умолчанию отключена в мессенджере. Кроме того, недавно в её работу были внесены изменения, делающие невозможным вычисление точного местоположения пользователя методом триангуляции.
Источник: www.iguides.ru