Уязвимость конфиденциальности позволила полиции Гонконга раскрывать номера протестующих: ответ Telegram
В среде протестующих в Гонконге нарастает паника в связи с тем, что по каналам распространяется заявление о наличии методов у полицейских по определению телефонных номеров пользователей Telegram. Команда Дурова дала ответ на это заявление.
Для того, чтобы получить телефонные номера пользователей, сотрудники правоохранительных органов генерируют контакт-лист с тысячами телефонных номеров по порядку. Об этом сообщает Информатор Tech, ссылаясь на Lihkg. Далее они добавляются в группу протестующих из Гонконга, после чего мессенджер показывает, какие пользователи из контакт-листа уже присутствуют в группе. Скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберет все номера. Данная схема легко автоматизируется для перебора большого количества телефонных номеров.
По данным самих активистов, таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках мессенджера запрет на показ телефонного номера. Несколько специалистов из области информационной безопасности проверили информацию об эксплоите в Telegram.
"Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы", - заявил Чу Ка-Чонг, директор Интернет-общества Гонконга.
Ка-Чонг также подчеркивает, что были подозрения по факту того, что некоторые спонсируемые правительством злоумышленники воспользовались наличием ошибки для вычисления протестующих в Гонконге. При этом специалист уверил, что Telegram сейчас является основным способом коммуникации, поэтому отказаться от него будет крайне сложно.
Что говорит Telegram
По обращению издания ZDNet команда Дурова изучила вопрос. В компании опровергают наличия существующего бага, фактически указывая на то, что это заранее продуманная функция с предустановленными мерами защиты для предотвращения подобных случаев. В Telegram подчеркнули, что по факту импортировать удалось лишь 85 контактов, а не 10 000.
"У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов - именно для предотвращения такого сценария. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды - и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют", - заявил представитель Telegram.
Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале, а также на наших страничках в Facebook и Instagram.