УЯЗВИМОСТЬ телеги бесплатно без регистрации и смс

УЯЗВИМОСТЬ телеги бесплатно без регистрации и смс


В наше время заголовки новостей про айти иногда хуже, чем "300 трупов" в соцсетях.

Про количество жертв хотя бы какой-то процент людей задумывается, потом проверяют, потом извиняются. А сенсационные заголовки просто остаются жить, чтобы их впоследствии предъявляли аргументами в спорах "Telegram & home-made security". 

Пришёл домой, открываю телеграм, захожу на канал Караульного.

Внезапно! https://t.me/karaulny/53840

"Уязвимость в Telegram позволяет получить доступ к приватным чатам!"

Раз опубликовано, значит исправлено, но тем не менее. Вообще к Telegram у исследователей информационной безопасности было много вопросов. - Канал Про АЙТИ


Вот это поворот! Это ж сенсация! Почему мне про неё друзья уже сто раз не сообщили, которые в теме разбираются?

Придётся самому включать мозги и спрашивать простейшие "почему?".


1. Почему в заголовке написано "уязвимость в телеграм позволяет получить доступ к приватным чатам"?

В данном случае даже на жургналюг не спишешь - автор практически эти же слова и использует в оригинальной статье. Хотя и бывает, что в оригинале копейка, а у журналиста четырнадцать триллионов восемьсот рублей.

2. Почему он решил, что такая уязвимость есть? 

[остальные уязвимости были исправлены, так как были уязвимости различной степени важности, но нас интересует именно вышеупомянутый заголовок]

Открываю статью, читаю следующее (перефраз своими словами)

Открыл гугл и я, действительно, видны инвайт-ссылки и описание чата / канала.

Не нравится выдача - пробуйте другие гуглы, есть значительная разница.


3. Поставим сразу два почему: 

Почему у инвайт-ссылок есть какое-то описание вообще, которое можно проиндексировать?

Почему инвайт-ссылки находятся в поиске?


Ответ на первый вопрос: 

Если вам прислали инвайт в группу "поклонники Димы Маликова", вы бы не хотели оказаться в группе "элитные проститутки Москвы". А то ж заскришнотят, в лучшем случае посмеются, а в худшем - в "инсайд-аноним-канал" выложат.

Поэтому для ссылок генерируется описание, которое вы увидите. Для приватных чатов и каналов - аватарка, название, количество участников. Для публичных ничего особо не надо, так как вы их можете просматривать, не вступая.


Ответ на второй вопрос: почему эти ссылки есть в поиске?

А давайте просто проверим. [единственное условие - не учитываем публичные каналы / чаты с юзернеймом - их можно просматривать, не вступая - так как я не уверен в особенностях их работы, но оригинальный заголовок как раз к ним и не относится]

Я не "мега-хакер", но мы ведь сейчас в первую очередь осуждаем обычных людей и журналистов, а автор статьи имел право на ошибку. Поэтому проведём проверку, которую должен был сделать любой человек, увидевший "сенсационную возможность доступа" в гугле.

  1. Пишем в гугле site:t.me join (поиск доступных для поисковика страниц на сайте t.me со словом join - типичный инвайт выглядит так: https://t.me/joinchat/AAAAABBBBBCCccccccdddd) 
  2. Берём каждый инвайт, и ищем его в гугле в кавычках без https:// - эту часть всё равно часто опускают
  3. Если на каком-то сайте в интернете человек опубликовал эту ссылку, то мы говорим "журналист лентяй и идиот" (так как должен был материал проверить, прежде чем хайповать).
  4. Если находится только один результат, кидаем инвайт к себе в телеграм, чтобы глянуть, не публичный ли он (так как нам в заголовках обещают уязвимость и доступ к приватным чатам с секретами твоей несуществующей девушки). Или открываем в веб-версии.

Если ссылка была опубликована на каком-то сайте в интернете, то мы не будем, в отличие от авторов, винить в этом телеграм. Ну а гугл делает своё дело правильно: нашёл в интернете ссылку, проиндексировал, получил краткое описание.

Если ссылка была опубликована на каком-то сайте в интернете, то мы не будем, в отличие от авторов, винить в этом телеграм. Ну а гугл делает своё дело правильно: нашёл в интернете ссылку, проиндексировал, получил краткое описание.


Я опубликую скриншоты поиска инвайтов для всех результатов с десятой страницы гугла (чтобы не самые попсовые, но вы можете проверять сами любые). Посмотрим, есть ли тут закономерность.


публичное
есть на стороннем сайте
публичное
Неужели? А нет, публичные криптанутые https://t.me/hydroprotocol
Хорошее публичное
сторонний сайт
сторонний сайт
публичное
и сторонний сайт, и публикация через публичный сокращатель
сторонний сайт


Я очень хотел бы оказаться "мега-хакером", который может найти нигде не опубликованные ссылки к приватным чатам. Но чёт не судьба.

Но вы дерзайте. А автор оригинального текста лошара. Сказали же, уязвимости здесь нет, а аватарка группы и название - это публичная информация, которая сделана таковой, чтобы вы не вступали в группы "поклонники Джастина Бибера" на старости лет.


P.S. С выдачей в гугле действительно есть одна существующая проблема: пока ссылка рабочая, она обновляется актуальной инфой. Но как только вы её измените в настройках чата / группы, ссылка перестаёт работать, а значит инфа там будет неактуальная. И пока гугл не почешется, ещё очень долгое время в гугле можно будет натолкнуться на нерабочую ссылку со старым описанием.



P.P.S. Про инвайты в публичные каналы.

У меня есть публичный канал на 900 человек. У него есть юзернейм, но есть и инвайт ссылка вида t.me/joinchat. И если пройти по этой ссылке в браузере, то там находится название, аватарка, описание - всё на месте. Но эту ссылку знает только создатель - я, и я гарантирую, что никому её не посылал.

Почему же тогда...

... всё работает так, как и должно работать?