После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
Как отключить Двухфакторную защиту Телеграм
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Источник: habr.com
Ваш аккаунт в telegram — под защитой!
Новое обновление у самого популярного приложения – разработан новый механизм восстановления пароля. Сегодня мы вам расскажем, как можно вернуть доступ к аккаунту в мессенджере, если вы забыли или потеряли пароль. Теперь пользователям доступны уведомления в настройках, которые позволяют проверить – а помните ли вы свой пароль для двухэтапной аутентификации.
Имея доступ к учетной записи в telegram предоставляется возможность заменить пароль даже если забыли старый или не указали электронный адрес почты для восстановления. Порядка семи дней займет сброс пароля. Эту операцию можно отменить зайдя с любого устройства. Что же делать, если вы забыли пароль?
Для начала надо знать, что если вы забыли пароль, то моментально создавать новый не стоит. К этому варианту лучше прибегнуть, когда других выходов не будет. Переустановка А пока один из вариантов – переустановить приложение и пароль сбросится сам, а потом при необходимости вы можете его установить снова.
Авторизация на другом устройстве Для этого вам нужно будет войти на другом устройстве в свою учетку и ввести номер телефона. После этого нужно зайти в настройках в пункт «конфиденциальность», в окне кликнуть на «код-пароль» и выключить пароль. После этого вы сможете войти в учетку с основного устройства.
desktop-версия поможет можно закрыть приложение с помощью desktop-версии. Для этого необходимо зайти с компьютера в настройки, кликнуть на «конфиденциальность», потом нажать на «активные сеансы» — «все сеансы» и кликнуть на кнопку – завершить все сеансы. Это даст возможность закрыть все сеансы и заново зайти в приложение с телефона.
Техподдержка В случае, если все вышеперечисленные способы вам не помогли, то можете обратиться в техническую поддержку мессенджера и рассказать о проблеме, задав необходимые вопросы и получив ответы. Чтобы обратиться в техподдержку нужно кликнуть на нее в левом меню. Итак, мы рассказали вам о всех способах восстановления пароля.
Надеемся, что наш материал будет вам полезен. Кстати, у telegram есть еще одно обновление, связанное с блокировками – анимации на экране во время блокировки. Появились новые анимашки для разблокировки и блокировки приложения с помощью пин-кода. Если вы пользуетесь анимированными фонами, то они отразятся на экране блокировки. Успехов вам в использовании приложения!
И мы будем вместе с вами ждать новых вкусных фишек от telegram!
Источник: linkbaza.com
Как включить двухэтапную аутентификацию в Telegram для Android
Telegram позволяет защитить учетную запись с помощью двухэтапной проверки. Это позволяет Вам добавить второй пароль, который Вам нужно будет использовать всякий раз, когда Вы входите в свою учетную запись Telegram. Вот как можно легко включить двухфакторную проверку в Telegram.
Разработчик: Telegram FZ-LLC
Цена: Бесплатно
По умолчанию для входа в Telegram требуется, чтобы Вы использовали одноразовый пароль, отправленный по SMS или через сообщение Telegram на другое устройство, на котором Вы ранее вошли в систему. Однако, чтобы лучше защитить свою учетную запись Telegram, Вы должны использовать функцию двухэтапной проверки в приложении.
Если Вы забыли второй пароль, Вы можете сбросить его, используя свою электронную почту. Этот пароль синхронизируется между устройствами и связан с Вашей учетной записью Telegram.
Как включить двухэтапную аутентификацию в Telegram для Android
Включить двухэтапную проверку в Telegram для Android довольно просто. Сначала откройте Telegram и коснитесь значка меню в верхнем левом углу приложения.
Откроется меню с множеством опций. Выберите «Настройки».
Теперь перейдите в «Конфиденциальность».
Выберите «Двухэтапная аутентификация».
На следующем экране нажмите «Задать пароль».
Введите пароль для двухфакторной аутентификации. Мы рекомендуем использовать хороший менеджер паролей для создания безопасных паролей. Нажмите «Продолжить».
Повторно введите свой пароль и нажмите кнопку «Продолжить».
Задайте подсказку для пароля, затем нажмите «Продолжить».
Теперь Вам будет предложено ввести свой адрес электронной почты, который будет использоваться, если Вы захотите сбросить свой пароль Telegram в будущем. Нажмите «Продолжить».
Telegram отправит подтверждение на только что введенный адрес электронной почты. Введите код, чтобы продолжить.
Вы только что добавили дополнительный уровень безопасности в свою учетную запись Telegram. Нажмите кнопку «Вернуться к настройкам».
Источник: android-example.ru