Как стать автором
Обновить

Комментарии 17

У телеграма не 2FA, а 2SV. Отсюда многие беды.
Уместно будет напомнить о разнице между ними.
Конечно, если у атакующего есть доступ к разблокированному телефону жертвы, то не спасёт ни код, полученный в SMS, ни код, сгенерированный приложением на телефоне. Но, способов получить доступ к SMS больше (перехватить по пути, переоформить сим-карту).

А фактор всё так же один — возможность получать SMS на определённый номер телефона. А возможность эта, увы, есть у неопределённого круга лиц.


Система, где это — единственный фактор, не будет безопасной.

Слишком маленький скриншот. Ничего не разглядеть.
Ещё чуть уменьшил

Уточню: по-прежнему осуществлен "сброс" аккаунта с потерей обычных и секретных чатов, так?

Да, так, вся переписка из всех чатов потеряется;

Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.

Да, это крайне неприятный момент. Хотя факт создания нового обычного чата уже должен быть подозрительным для собеседника.

Новый чат совсем не должен быть обычным, атакующий может создать какой угодно чат.

В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.

А что произойдет, если собеседник напишет "жертве" (под личностью которого скрывается атакующий) в тот обычный чат, что был до угона? Будет ли автоматически создан новый? Или сообщения будут получать одну галку и "зависать"?


Скажем так, как выглядит ситуация со стороны собеседников? (по сути, как определить, что у товарища угнали акк, ДО истечения 12 часов и замены контакта жертвы на DELETED)

Это всегда будет новый чат, не старый.
Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).

Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.

Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.

Создание нового обычного чата, полагаю, уже достаточно для беспокойства (невозможно удалить обычный, "облачный" чат, только очистить историю на своей стороне). Ибо эта ситуация проявляется только при переустановке учетной записи.


А секретный чат, конечно же, надо проверять лично или хотя бы убедиться, что он пришел кому надо.

Не совсем по теме, но не даёт покоя такой вопрос: У меня емайл в гугле привязан к двухфакторной авторизации. Inbox на смарте пароль не спрашивает, что даёт легкий доступ к нему преступникам. Предположим, если я потеряю свой смарт или его у меня украдут, то как я потом могу быстро получить доступ к аккаунту, чтобы сменить пароль и удалить номер украденного смарта для авторизации? Знаю, что там можно занести запасной номер, но у меня его нет.
Полагаю, вам помогут резервные коды (10 штук) в настройках безопасности аккаунта
Скриншоты где и как
image
image
Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
поставить нормальный пароль на разблокировку экрана,
поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
поставить блокировку на «немедленно» после ухода в сон
Простите, но где тут второй фактор?
СМС-код или код, отправленный на другое устройство — это первый фактор, вторым фактором для телеграм — является пароль. Ваш заголовок вводит в заблуждение.
Неделю или две назад отправил в службу поддержки вопрос, но ответа не получил. Я на cyanogenmod через f-droid поставил telegram. И жил припеваючи много месяцев, пока не съездил в отпуск. Теперь у меня иногда сообщения в шифрованых чатах оказываются прочтенными раньше чем я их открою. Это вроде end-to-end из чего следует что проблема должна быть у меня на устройстве. Так же у меня каким-то образом исчезла та самая двухфакторная авторизация. Для снятия которой, насколько я понимаю, нужно знать как минимум пароль, как максимум иметь доступ к почтовому ящику. Вообщем я в растерянности, служба поддержки молчит минимум неделю. Аналогичных ситуаций описанны в паутине найти не смог. Никто не сталкивался?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории