После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Источник: habr.com
Как восстановить доступ к учетной записи или аккаунту Telegram в случае утраты телефона сим карты или пароля
Сегодня разберем проблему или даже беду, которая возникает у пользователей мессенджера Телеграм, а именно, утрата доступа к учетной записи Telegram. Да, к сожалению, такая беда может случиться с любым из нас, поэтому важно понять и разобраться что делать в такой ситуации.
Основные причины потери доступа к своему аккаунту Телеграм и какие действия можно предпринять:
- Украли телефон/планшет, где была установлена sim-карта с номером, на который был зарегистрирован Telegram.
Если телефон украли, то первое что нужно сделать, это позвонить оператору и заблокировать сим карту (для этого нужно будет сообщить все свои паспортные данные). Если Вы ранее пользовались Телеграм на других устройствах, то нужно как можно быстрее зайти в свой аккаунт с другого устройства и завершить сессию на телефоне который украли (это исключит вероятность доступа злоумышленников к вашим данным и сообщениям). Также лучше заранее позаботиться о защите и безопасности Telegram, а также всего устройства в целом, чтобы снизить вероятность доступа к переписке и важным данным даже в случае кражи. - Заблокировали sim-карту или утратил её вместе с телефоном, как теперь войти в Телеграм?
В этом случае, если у Вас не осталось других открытых приложений Телеграм (активных сессий) на других устройствах (телефон, планшет, desktop или веб-версия телеграм), то увы, без сим карты получить доступ не получится, так как одноразовый код входа отправляется по смс или по звонку на указанный номер телефона. Но если у Вас есть активная сессия Телеграм, например на компьютере, то одноразовый код поступит в ваш открытый аккаунт Телеграм и таким образом, можно восстановить доступ к мессенджеру на любом другом устройстве. Важно понимать, что при этом всё равно сим карту лучше будет восстановить, даже если у Вас останется доступ к мессенджеру без сим карты, то в будущем могут возникнуть проблемы, например, сим карта будет переоформлена на другого пользователя и он сможет получить доступ к вашему аккаунту и всей переписке, хотя, в этом случае может спасти двух факторная авторизация Телеграм, но в любом случае новый владелец сим карты, сможет удалить Вашу учётную запись Telegram, даже если не будет знать двух этапного пароля, а потом создать свой новый аккаунт, а все ваши старые данные и доступ будут утеряны. - Что делать если забыл «облачный» пароль (пин-код) от двух-этапной (2FA двух-факторной) авторизации (этот пароль запрашивается после стандартного одноразового кода для входа)
В этом случае, «облачный» пароль можно восстановить на указанный email, если Вы его указывали, в противном случае доступ к Телеграм и данным внутри аккаунта можно считать утерянным, если не осталось других активных сессий на других устройствах. Если активная сессия у Вас осталась, то сбросить пароль можно в разделе Настройки > Конфиденциальность > Облачный пароль нажав на кнопку Забыли пароль? Следуйте инструкциям на экране. Как правило пароль сбрасывается только через 7 суток. Если делаете сброс пароля со страницы входа в аккаунт, то все данные будут удалены через 7 суток. А если делаете сброс пароля из аккаунта, то все данные будут сохранены. - Что делать если забыл защитный вход-пароль (код-пароль) в приложение ?
Важно понимать, что здесь речь идёт именно о код-пароле, который устанавливается на вход в приложение, не путать с «облачным» паролем от двух-этапной аторизации, который описан в предыдущем пункте. Итак, код-пароль на вход в приложение Телеграм восстановить невозможно, поэтому можно лишь переустановить приложение и снова войти в свою учётную запись, при этом потеряются все активные секретные чаты (если они были в этом приложении). - Не могу войти в свой Telegram. Выдаёт ошибку слишком много попыток входа (error flood wait)
Это не так страшно, но придётся подождать, как правило сутки, чтобы снова войти в свой Телеграмм аккаунт. Это может быть связано с автоматическими спам фильтрами и защитой от частых попыток входа.
Источник: tgram.ru