Изучая безопасность мессенджера Telegram, меня поразила одна его «особенность» при работе с ботами — выяснилось, что при добавлении в канал бота никак нельзя ограничить его в правах на удаление подписчиков. То есть, говоря прямо, любой бот может вычистить всю аудиторию канала за считанные минуты.
Добавлять ботов в Telegram-каналы можно только как администраторов с целью автоматизации выполнения различных сервисных действий — например, планирование публикации постов и сбор всевозможной аналитики по каналу.
Почти все администраторы Telegram-каналов пользуются сторонними ботами от разных сервисов вроде Telemetr или Telepost и аналогичных. Причем сервисы часто специально навязывают добавление своего бота в канал. Например, всевозможные биржи рекламы вообще отказываются работать с каналом без наличия их бота — без него нельзя автоматизировать публикацию рекламы.
Таким образом администаторы добавляют к себе в канал бота за ботом, уповая на то, что следующая настройка прав не оставляет ботам никаких возможностей, кроме как работать с постами:
Охота на владельцев анонимных Telegram-каналов в РФ. Кремль задействовал ФБС И МВД
Однако, даже забрав у бота все права, доступные для редактирования из официального клиента, бот все еще будет оставаться администратором и иметь возможность не только читать любую администраторскую информацию о канале, но и выкидывать подписчиков.
С точки зрения Telegram API удаление подписчика из чата выглядит как бан с помощью API-метода editBanned. Т.е технически у всех ботов, которые попадают в канал, есть «несгораемые» права по бану участников.
Самое странное в этой ситуации то, что в Telegram API присутствует «скрытая» возможность отнимать у ботов права на удаление подписчиков, но в официальной версии Telegram она скрыта из интерфейса:
Если же сделать этот API-запрос вручную, «насильно» выставив настройку ban_users , то обнаружится, что сервера Telegram по какой-то причине игнорируют её. Скорее всего, из-за этого настройка и отсутствует в официальных клиентах, хотя появилась она очень давно — можно посмотреть по истории TL Layer.
Как от этого защищаться? Пока Telegram не предлагает ничего лучше, чем написать собственный скрипт на основе Telegram API, который бы мониторил все удаления подписчиков в канале ботами и банил бы их. К счастью, банить подписчиков боты могут только пачками по 200 (ограничение Telegram на просмотр последних подписчиков канала), поэтому как только какой-то бот забанит первого подписчика, такого бота можно незамедлительно выбрасывать из канала. Это позволит не потерять всех подписчиков за несколько секунд.
Проблема тут только в том, что Telegram API не позволяет одним ботам банить других ботов, из-за чего скрипт мониторинга придется запускать от имени Telegram-пользователя, а не от имени Telegram-бота. С другой стороны, Telegram отправляет уведомления об удалении пользователей из каналов только ботам, а обычным пользователям — не отправляет. Из-за всей этой неразберихи в API рабочая схема защиты будет выглядить так:
- Добавляем в канал своего бота, который будет мониторить удаления подписчиков другими ботами
- Если было обнаружено удаление, удаляем обнаруженного бота от имени второго аккаунта — пользователя
Код с использованием библиотеки Pyrogram для защиты канала по такой схеме может выглядеть примерно так:
По какой причине разработчики Telegram не спешат с реализацией этой очевидно необходимой защиты на стороне сервера, я затрудняюсь ответить. Но пока их changelog будет выглядеть так, словно ничего, кроме сториз делать уже не осталось, администраторы Telegram-каналов спокойно спать не будут.
- Информационная безопасность
- Веб-разработка
- Мессенджеры
- API
Источник: habr.com
Mash: МВД России попросит руководство Telegram заблокировать канал «Топор Live»
3,7-миллионный телеграм-канал «Топор Live» могут заблокировать — за рекламу наркошопов. Плюс сдеанонить и задержать админов и владельца. В ближайшее время МВД России собирается отправить соответствующий запрос в главный офис Телеги.
По нашей информации, сначала руководство канала попросят удалить рекламу с запрещёнкой. И если ничего не исчезнет, будут отвечать по всей строгости закона.
Источник: mash.ru
Егор Крид отсудил у популярного телеграм-канала сотни тысяч рублей
РАЗДАЕМ КНИГИ нашим подписчикам каждую неделю в Телеграм-канале. Подпишитесь, чтобы стать участником раздачи.
Савеловский суд Москвы взыскал с телеграм-канала Mash 350 000 рублей по иску певца Егора Крида (настоящая фамилия — Булаткин) из-за поста о причастности артиста к неуплате налогов, сообщает ТАСС.
В суде Крид пытался получить от канала 1 млн рублей за клевету. Поводом для разбирательств стал пост Mash от 29 апреля 2023 года, где утверждалось, что Егор Крид попал в «черный список инфоцыган», составленный МВД России, и его собираются проверить на причастность к неуплате налогов плюс отмыванию денег.
По версии близкого к правоохранительным органам телеграм-канала, в черном списке полицейских 29 фамилий. Вслед за уголовными делами Блиновской, Лерчек и Митрошиной готовятся новые задержания, утверждал Mash, — Инстасамки, Гусейна Гасанова и других. Якобы список МВД был создан еще до громких арестов, а задержанные блогеры были там в первых строчках. Главное требование властей — погасить миллионные (а в некоторых случаях миллиардные) долги по налогам, поскольку бюджет РФ находится в жестоком дефиците.
Источник: fintolk.pro