Алёна Даст
июль 2018.
597

Зачем анонимному мессенджеру Telegram нужен ваш номер и доступ к вашей телефонной книге? Какой смысл в анонимности, если на сервере хранятся сканы документов?

Ответить
Ответить
Комментировать
2
Подписаться
0
1 ответ
Поделиться

Доступ к номеру нужен, так как ваш аккаунт привязывается именно к нему. В телефонной книге у вас вбиты контакты друзей, с которыми вы будете общаться, поэтому запрашивается доступ к телефонной книге.

Что касается документов. Если всё, что известно официально, правда, то храниться на сервере будут зашифрованные сканы документов. Зашифрованы они на вашем телефоне и никем кроме вас не могут быть открыты. Ну или могут быть взломаны. Так что, в теории, на анонимность это никак не влияет. Что на практике, простите, не знаю.

2
0

Уже сегодня, зная номер телефона жертвы, можно выполнить атаку на протокол SS7, перехватить СМС, войти в учетку и получить доступ ко всей сохраненной переписке и файлам, в том числе и к сканам документов. Я уж молчу про возможность деанона по номеру телефона, и про многочисленные слитые базы данных, которые используют для холодных прозвонов. Так что привязка к номеру телефона - изначально гиблая затея.

0
Ответить

Про двухфакторную авторизацию, введенную после перехвата смс, читали? Недостаточно просто перехватить смс, пароль необходимо знать.

0
Ответить
Ещё 8 комментариев

Во-первых, это статья 16 года.

Во-вторых, эту проблему фиксил telegram, на сколько я помню. Они отключили возможность сброса аккаунта. К сожалению, не могу попроветрить и подтвердить это лично сейчас.

Наконец, как написано даже в этой статье, кроме аккаунта злоумышленник не получает ничего, даже списка контактов.

0
Ответить

Они отключили возможность сброса аккаунта. К сожалению, не могу попроветрить и подтвердить это лично сейчас.

Пруфов, как я вижу, не будет.

Наконец, как написано даже в этой статье, кроме аккаунта злоумышленник не получает ничего, даже списка контактов.

Да, но это уже не двухфакторная (2FA), а дырявая двухэтапная верификация (2SV), которая не включена по умолчанию, также как и секретные чаты. Также из статьи выходит, что Telegram в плане безопасности ничем не лучше (если не хуже) аналогов.

0
Ответить

Возможность сброса аккаунта осталась. Доступа к переписке и контактам пользовательскими нет. Я проверил.

Собственно, это написано по вашей же ссылке, прочитайте ещё раз )

0
Ответить

Но это не мешает Васе Пупкину угнать и скомпрометировать вашу учетку, а это уже потерянный аккаунт. Плюс, стоит отметить, что даже дырявая двухэтапная верификация не используется по умолчанию, мало кто её использует. Что нивелирует все преимущества над аналогами, если вы читали эту статью)Поэтому привязка к номеру телефона сама по себе ущербна и является слабым звеном. А прочность системы определяется по самому слабому элементу.

0
Ответить

Смотрим исходный текст вопроса. «зачем привязка к номеру». По определению. Это средство связи с людьми из своего контакт листа. Поэтому заявление «привязка к номеру ненадёжна» само по себе уже не корректно, то же, что заявить, что «привязка к электричеству ненадёжна, ведь его может не быть».

Майор Вася Пупкин не получить доступа к вашему списку контактов и к вашей переписке. К всей переписке, а не только к секретным чатам. Плюс пользователь телеграм получит уведомление, что кто-то пытается войти в его учётку, сразу после первого же запроса пароля. И, кроме того, если бы вы использовали телеграмм и попробовали бы получить смс, то внезапно обнаружите, что смс не отправляется, а приходит сообщение в уже авторизированный телефон/аккаунт. Попробуйте, увидите. Так что товарищ майор Вася Пупкин не прочитает смс, так как её нет.

Ну и, наконец, вторая часть вопроса, про «какой смысл в анонимности, если хранятся сканы документов». Так вот к этим сканам доступа никто не имеет.

Впрочем, судя по вашим текстам и настрою, услышать ответ на вопрос не являлось целью. Надо было почернять мессенджер? А зачем? Мм?

0
Ответить

По определению. Это средство связи с людьми из своего контакт листа.

Для связи можно использовать не только номер телефона. Единственная причина, по которой используют привязку к номеру - сбор персональных данных. Поэтому в использовании номера телефона нет необходимости.

Поэтому заявление «привязка к номеру ненадёжна» само по себе уже не корректно, то же, что заявить, что «привязка к электричеству ненадёжна, ведь его может не быть».

Некорректная аналогия. Без привязки номера телефона можно обойтись, а без электричества нет.

Впрочем, судя по вашим текстам и настрою, услышать ответ на вопрос не являлось целью. Надо было почернять мессенджер? А зачем? Мм?

Это здоровый скепсис. С таким же успехом, я могу сказать, что вы отстаиваете интересы мессенджера, потому что вы имеете к ним отношение либо фанат. Однако без доказательств ваши заявления не являются аргументами.

Ну и, наконец, вторая часть вопроса, про «какой смысл в анонимности, если хранятся сканы документов». Так вот к этим сканам доступа никто не имеет.

Сомнительно. Павел Дуров ничем не отличается от Васи Пупкина, хорошим тоном считается полное открытие исходных кодов.  Пока не будет открыт исходный код сервера (а не только клиента), который каждый может изучить, провести аудит безопасности, нет никакой гарантии в надежности персональных данных, только обещание, которое ничего не стоит. Используются проприетарные протоколы, авторы изобретают велосипеды, а не проверенные временем технологии. А с учетом того, что они путают 2FA и 2SV (либо делают вид), то возникают сильные сомнения в их компетенции. И соответственно нет никакой гарантии в сохранности персональных данных, а уж тем более доверия.

0
Ответить

Понимаете, в один прекрасный момент всем надоело, что используется 100500 идентификаторов для связи. Десять почтовых адресов, номер icq, номер в jabber, контакт в «одноклассниках». Поэтому современные мессенджеры используют телефон, как основу для общения. Именно телефонами все сегодня обмениваются, именно это удобно.

Про ангажированность. Я просто отвечаю на ваши вопросы. И ещё в первом своём ответе написал, «что если верить словам разработчиков, что хранится всё закодировано», между прочим. А вы ушли от темы вопроса в тему обличения и недовольства телеграмм. На вопрос я ответил, вообще дальше ваши подозрения пошли в стороны. Разработчики не предоставили код - значит не доверяем!!! По аналогии - вы скрываете личность - не доверяем.

0
Ответить

Именно телефонами все сегодня обмениваются, именно это удобно.

Удобство и безопасность противоречат друг другу. 

Разработчики не предоставили код - значит не доверяем!!!

Это не мое требование. Алгоритмы шифрования, любой софт, который претендует на анонимность и конфиденциальность, публикуется под открытым исходный кодом. Ни один человек в здравом уме не будет доверять проприетарной технологии, которая закрыла критичные к безопасности, надежности и конфиденциальности фрагменты кода. Даже если там отсутствуют закладки, это не гарантирует отсутствие уязвимостей.  Дуров не открывал исходный код серверной части Telegram и не проводил открытый аудит, а верить на слово в таких щепетильных вещах может только полный дурак.

0
Ответить
Прокомментировать
Ответить
Читайте также на Яндекс.Кью
Читайте также на Яндекс.Кью