Критические уязвимости школоты

К Литрееву постучались школьники с ранее неизвестной "мегаважной сверхкритической уязвимостью телеграма, из-за которой всем анонимным каналам будет деанон"

Поговорим об анонимности в телеграме.

Сразу отделим авторов анонимных каналов и обычных юзеров в чатиках.

У человека в чатике анонимность отсутствует (по факту). Почему? Что? Как? Это проблема телеграма?

Конечно, нет.

Посмотрим именно на обычного человека.

Вася Иванов, живёт в Питере, номер телефона 123456789. Вася регистрируется в телеграме / вайбере / whatsapp, регистрация по номеру телефона, в полях имя-фамилия пишет "Жора Хейтер".

Вася заходит в раздел контакты и наблюдает такую картину

Как телеграм (и другие мессенджеры) знает, кому можно написать в телеграме, а кому не получится?

Когда вы регистрируетесь в телеграме, у вас просят доступ к контактам. Ваши контакты прикрепляются к вашему аккаунту и проверяются, регистрировались ли они = можно ли им написать. Если они зарегистрированы, вы их видите отдельным списком.

Если у меня в контактах есть номер телефона Васи Иванова (который подписался "Жора Хейтер"), и я встречу Васю в чатике, то он для меня всё равно будет подписан Вася Иванов, и в его профиле будет виден его номер.

Анонимность Васи в чатике.

Зашёл Вася в питерский бунтарский чатик (и все его видят как "Жора Хейтер") и написал "хватайте зажигательные смеси и валите мусоров, АУЕ".

Сержант милиции, тоже сидящий под вымышленным именем, на "мусоров" обиделся и разозлился достаточно, чтобы (тут идёт некоторое упрощение технических деталей) добавить себе в контакты телефона базу питерских мобильных номеров. И теперь в чатике он видит не "Жора Хейтер", а Вася Иванов с номером телефона 123456789. Сержант делает скриншот, распечатывает его и прикрепляет в дело по статье 280, 212 - на что фантазии хватит.

Если какой-то бот пишет ваш номер, если вы ему написали, или сайт в интернете показывает ваш аккаунт по номеру телефона, то всё делается похоже - если добавить в контакты номера от 0.......0 до 9.....9 (даже без ФИО), то для любого юзера будет виден его номер телефона - пусть для этого и придётся завести овердофига аккаунтов, так как существуют лимиты на "добавление" контактов итд итп, но чисто теоретически это возможно.

И это возможно не только для телеграма, но и для любого мессенджера, где на один номер телефона возможно завести один аккаунт.

Мелкая техническая деталь, которая будет важна позже.

В телеграме вы можете поменять имя и юзернейм. Но как программа знает, что вы - это всё ещё вы, и пусть ваше имя поменялось, но вы всё ещё состоите в том и том чатике, ведёте переписку с теми и теми людьми?

При каждой регистрации (в т.ч. после удаления аккаунта и заведения нового) вам выдаётся id. Этот номер прикрепляется к вашим сообщениям, так что если написать от имени Жора сообщение, а потом изменить имя на "Евлампий", то у написанного сообщения поменяется отображаемое имя на "Евлампий" - у сообщения был автор с определённым id, который не поменялся. У этого id теперь другое отображаемое имя, которое уже будет показываться дальше.

Если вы написали кому-то в личку, то это личка не между "Петя" и "Вася", а между аккаунтами с двумя определёнными id. Даже если вы смените имена и юзернеймы, ваша личка останется.

Что будет, если вы удалили свой аккаунт и выкинули симку (зачем вы это сделали??), а кто-то её подобрал и завёл новый аккаунт? При регистрации для аккаунта заводится новый ID, а значит новый человек никак не сможет получить доступ к прошлым чатикам (если не напишет всем "Нет времени объяснять, пришли мне скриншоты всей нашей переписки").

Писатели против ветра в анонимных каналах.

Вам бояться почти нечего.

В настройках канала есть опция "подписывать сообщения". При этом под записями вашего канала будет видно "отображаемое" имя автора.

Надеюсь, понятно, почему вы должны НЕ включать эту опцию, если вы шифруетесь? Но я поясню. Чтобы показывать ваше имя на сообщении, к нему прикрепляется ваш id. Читаем два параграфа выше: если кто-то любым образом добавил в контакты базу номеров, то он видит их профили = видит их id. И когда ваше сообщение подписано, то теоретически можно найти и ваш номер.

Маленькое уточнение. Некоторое время существовала определённая уязвимость в телеграме - загруженные в телеграм документы / картинки содержали id автора. Что интересно, про это не писали традиционные паникёры "телеграм небезопасен, фсб всех взломали, дуров всех продал". Но на моей памяти это была единственная из реальных проблем, которые могли угрожать ограниченному кругу людей. Если анонимный автор самостоятельно загружал в канал картинки, то он выдавал свой id.

Наши друзья в канале @tglive решили немного обострить проблему, опубликовали об этом статью, через час с ними связались представители телеги, ещё через некоторое время проблему устранили.

А теперь вернёмся к началу этой записи. Единственная уязвимость, которая угрожала анонимности авторов каналов, была закрыта (sic!) считай полгода назад. Так что даже если бы школота понимала хоть что-нибудь в безопасности, они немного опоздали.

И напоследок немножечко недоказуемых теорий.

Если вы держали канал на основной симке, но полгода назад ваш id узнали, что можно сделать? Как говорилось выше, id меняется при удалении и создании нового аккаунта. Или можно было симку другую взять. Или сделать новый канал на одну симку, добавить в нём администраторами другие симки и писать с них.

А вы помните, как за месяц до опубликования уязвимости (про неё было известно несколько раньше), канал Незыгарь переехал с адреса https://t.me/russica на https://t.me/russica2?

Совпадение? Скорее всего да, но...

Update: Пока писалась статья, "инсайдеры" выложили вот это.

Перечитайте мою заметку ещё раз, чтобы и ваше лицо кровоточило от фейспалмов с такими вот "УЯЗВИМОСТЯМИ".

Иды — ХЭШИ НОМЕРОВ? 🤦‍♂🤦‍♀

А у людей с четырёхзначными id вместо мобил пейджеры — "абонент номер 5".