Уязвимость в Telegram позволяет скомпрометировать секретные чатыНапоминаю ранее: 1) Французская полиция получила доступ к содержанию секретного чата через уязвимость 2) Исследователи ИБ смогли получить доступ к секретному чату через уязвимость протокола MProto и расшифровать часть переписки 3) Иран перехватил трафик телеграмма через атаку посредника, включая незашифрованные переписки пользователей обычного чата Короче, там огромная простыня с хабра и я её слегка ужму. Исследователи ИБ открыли с десяток уязвимостей протокола телеграмма и посредством аудита получили доступ к переписке. Но пашка как обычно затораторил "нивирю" и проигнорировал, как и техническая поддержка... в который раз. В статьи показан угон АККАУНТА телеграмма имеющего аутентификацию.В секретных чатах Telegram используется «сквозное шифрование», и что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для Алисы необходим пароль от этого ключа, который невозможно сбрутить, придерживаясь современной доктрины парольной защиты. В Telegram end to end encryption на Android — это становится возможно с вероятностью 100%. Обход двухфакторной аутентификации, восстановление пин-кода и угон секретных чатов в Telegram об этой уязвимости и будет статья.В своей работе я постараюсь описать подробный мануал по уязвимости в Telegram на Android-девайсах, приведу примеры по восстановлению local code Telegram на Android, Desktop Linux/Windows. Скомпрометирую секретный чат Telegram. В этом противостоянии с командой Дурова мне поможет моя компания: Я; Android 7.0; Android 6.0 (root); Android 4.4.2 (root); ПК с OS Linux/Windows. На первый взгляд кажется силы не равны, посмотрим…Обойдя end to end encryption Telegram мессенджера на Android, баг-репорт отправил письмом на вышеупомянутый e-mail. Ответа не получил, спустя несколько дней написал в техподдержку волонтерам Telegram. Волонтеры мне ответили, что донесут мою мысль до руководства Telegram, запросив с меня уточнение: откуда и когда я отправил свое письмо. Спустя две недели тишины я еще раз напомнил о своем письме волонтерам, на этот раз и добровольцы мессенджера полностью проигнорировали моё напоминание. Через неделю я снова повторил отправку письма на официальную почту Telegram — нет ответа. Что же остается, чем же заняться? докучать со своим баг-репортом по Telegram через микроблог?, осаждать неофициальные источники общения команды durov-а? Или написать и выложить статью для СМИ? Прямо какая-то кибербюрократия сформировалась в рядах Telegram. Не могу не отметить w9w с habr.com, который, по моему мнению, нашел лучшую уязвимость на платформе Telegram: уязвимость в telegra.ph. Суть – любой юзер мог отредактировать чужую статью на telegra.ph. Со своим отчетом об уязвимости w9w (он нашел их несколько) так же не смог достучаться на [email protected]. После прохождения бюрократического квеста, w9w получил за найденные уязвимости маленькое финансовое вознаграждение. Интересно, это жадность Telegram? или какая-то другая причина? Вернемся к Telegram, немного отзывов о нем.К услугам Черного принца пользователя конфиденциальность на мобильной платформе Telegram представлена, как неприступная, грозная, новомодная разработка MTProto от Николая Дурова. Секретные чаты в Telegram (далее СЧ) – это чаты, которые присутствуют лишь на мобильной платформе Telegram и защищены сквозным шифрованием, ключи хранятся только на устройствах на которых были сгенерированы, а еще это гордость Telegram-Dubai (так их назову). СЧ Telegram считаются очень защищенными чатами во всем мире, в Telegram-Dubai мире, несколько раз durov сотрясал воздух, сравнивая свой продукт с конкурентами в публичной воинственной форме и всегда побеждал.ВыводыLocal code Telegram (pin) на Android-е взламывается в JTR мгновенно и c вероятностью 100%, это ведет к последствиям: угон секретных чатов, вскрытию переписки СЧ, выдавание злоумышленника за реального пользователя. Защита от этого «трюка» — временный бан от Telegram и новые сессионные ключи для реального пользователя.Операция по угону СЧ схожа с воровством cookie + взлом pin + «заморочка с правами» если использовать метод «copy-paste».Для восстановления pin-а Telegram, необходимо работать с файлом приложения мессенджера расположенным в
https://habr.com/post/419551/Жду набега школодаунов с криками "лахта " и 'нивирю"
>>3407606 (OP)А я еще газеты по почте выписываю. И открытки посылаю.
Паша долбоёб и пиздобол, проебал немалую часть российской аудитории со своими копротивлениями.
Освятил тред Боженька дал тебе Жаббу с Отрк и клиентом Дино, а ты пользуешься проприетарной хуйнёй дырявой как дуршлаг, приправленную пиздаболом пашкой... не надо так
>>3407606 (OP)Врёти. Пашка Дуров $10 млрд. предлагал тому, кто взломает и никто не смог.
>>3407626АМИНЬ
>>3407606 (OP)Если ты такой умный, хули ссылку сразу-то не приложил?
>>3407626>ОтркЧто это? Ты ОТР имел в виду?
>>3407645очепятка при смене раскладки
>>3407626Прав только с одной стороны.99% населения хочет чатик. Просто чатик. А здесь выигрывает размер аудитории. Который у теграмма, благодаря пиару, дохуялион. А вот среди жаббера нет ни друзей, ни знакомых, нихуя.мимо-поставивший-xabber-и-думающий-а-нахуя телегой не пользуюсь, ибо расхайпленное российское поделие.
Да мы знаем что он не безопасный, просто это символ свободы
>>3407694> А вот среди жаббера нет ни друзей, ни знакомых, нихуя.это только в рашке всё как обычно через жопу. Сервера жабы с 2001 растут на 15-20% в год, есть охуенные клиенты для дроида, но у нас он до сих пор с аськой ассоциируется
>>3407713>это символ свободы>проприетарная дырявая помойка>с корпоративными замашками>символ свободы хайповые школодауны обезумели, кто сможет совладать с ними? Символ свободы это OS, а хайповое закрытое говно
>>3407606 (OP)Не читал. Но смысл от этих уязвимостей, если ты нормальный человек, а не террорист и не наркобарыга? Это на них спецслужбы будут тратитьтся, а сиськи-письки-смешнявки обычных людей никому не нужны, спи спокойно.
>>3407606 (OP)Если телегрум так легко взламывается, почему его легко не взломали руССкиехакеры™ из фсб? Зойчем они тогда просили ключи?
>>3407626НАСТОЯЩИЙ ПАТРИОТ ИСПОЛЬЗУЕТ ТОЛЬКО МЕССЕНДЖЕР ТАМТАМ И АСЬКУ, А НЕ ВСЯКИЕ БЕСОВСКИЕ ПОДЕЛКИ БЕЗДУХОВНОГО ЗАПАДА.
>>3407737>Зойчем они тогда просили ключи?ибать ты даун инфантильный А нахуя мизулина и яровая истерят по темам в которых не шарят? Естественно что бы1) создать хайп нацеленный на конкретный интерес, в данном случаи возможно черный пиар телеграмма2) Создать видимость бурной деятельности
>>3407729СПИШЬ СПОКОЙНО@ПОКА СПАЛ, УГНАЛИ АККАУНТ@ПРОДАЛИ ЧЕРЕЗ НЕГО 2 КГ МАРИХУАНЫ И 50ГР. КОКАИНА@ПРОСЫПАЕШЬСЯ ОТ БУТЫЛКИ В ЖОПЕ
>>3407740Ничем не хуже Телеграма.
>>3407722>Символ свободы это OS, а хайповое закрытое говношкололо не умеет писать связно
>>3407746Ок, пропиарили, а когда разблокируют? Заебало через прокси всякие сидеть
>>3407715Куда они растут?Если у тебя шесть знакомых бородатых програмиздоф и сегодня появился седьмой, то да, растут.Людишкам хочется чятики, канальчики и контент. На данном этапе жаббер не может им этого дать, нужно было чуть-чуть поднапрячься во времена издыхания аськи. Собирать же клиента из сорцов мало кому интересно.
>>3407729Ох лол, пошла классика - МИНЕ СКРЫВАТЬ НЕЧИВА))); ТЕБЕ НЕЧЕГО БОЯТЬСЯ ЕСЛИ ТЕБЕ НЕЧЕГО СКРЫВАТЬПрошу, продолжай.
>>3407606 (OP)Кто-то неиронично пользуется им для заshitы? Кек, это просто замена мемным пабликам вк, только без рекламы.
>>3407729Как раз на вещества тебя не посадят.Последние стараются в анонимность.А вот за картинку - пост тебя посадят на трёх литровую банку, не смазав твой разработанный анус.
>>3407729>at first i was like>ТЕЛЕГРАМ ПАТАМУШТА ТАМ СИКРЕТНЫЕ ЧАТЫ)) ЯЖ АНАНИМУС, ПАЕНТОМУ ВАЖУ НОМИР ТИЛИФОНА))) ХОТЬ Я И АНАНАС, НО МНЕ СКРЫВАТЬ НЕЧИВА)) НУ И ГЕБНЯ НЕ ДОТЯНЕТСЯ, ВЕДЬ Я ЖЕ АНОНИМ-ЛИГИВОН МЫ НИПРАЩАИМ)))>but then...>Нормальным людям скрывать нечего! Ты что, барыга-наркоторговец или террорист?
>>3407606 (OP)> Уязвимость в Telegram позволяет скомпрометировать секретные чатыОхуенная статья:*Предположим мы как-то поулчили секретный ключЗАЕБИСЬ, уязвимость.Предположим мы как-то получили уже расшифрованную переписку, лол
>>3407766>Людишкам хочется чятики, канальчики и контент. На данном этапе жаббер не может им этого датЧто сказать то хотел?
>>3407626Я пользовался токсом и в итоге отказался. Тормозит пиздец, невозможно иметь одну и ту же переписку на нескольких клиентах (да, я знаю что это откровенный проеб сквозного шифрования, но блин, без этого просто неудобно нихуя), просто глюки типа отключения от сети при использовании vpn, и надо в ручную взять и перезапустить сервис. А сами клиенты явно писали для марсиан.
https://2ch.hk/s/res/2306902.htmlПацаны! Го в жабо тред!
>>3407626Хорошая картинка. Настоящий культ породит.
>>3407606 (OP)
>>3407606 (OP)>В статьи показан угон АККАУНТА телеграмма имеющего аутентификацию.Какой блядь угон, файлы под рутом скопировал.И вообще не пиши больше никогда, ебаный мудак, я мозг сломал пока твою сраную статью читал.
>>3407867промытый хайпошкальнек плес сказали угон значит угон!!
>>3407773Но там ведь есть реклама. Еще и не заблокировать AdBlock'ом.
>>3407862Что с голосом? Это чурка, что ли?
>>3407606 (OP)>мне поможет моя компания: Я; Android 7.0; Android 6.0 (root); Android 4.4.2 (root); ПК с OS Linux/Windows. На первый взгляд кажется силы не равны, посмотрим…С рутом что угодно можно обойти и нужен доступ к устройству. Статья говно
>>3407901Ну, например, рут не даст магическим образом возможность прочитать криптоконтейнер.С помощью рута нельзя залезть в базу паролей .kdb.
>>3407901>Врёти!
>>3407867да это говно вообще собачье - телеграм точно так же будет уязвим, если владельца теефона по голове лопатой ебнуть и мобилку его забрать, лел.
>>3407626Ваш боженька высирает говно из своей жопы, а вы едите. Знаешь, почему опенсорс всегда в жопе? Потому что опенсорсными поделиями пользоваться невозможно. ГНУ/уёбы НЕ ЗНАЮТ, что такое красивый и удобный интерфейс. Настолько не знают, что пользоваться опенсорс-поделиями ФИЗИЧЕСКИ БОЛЬНО ГЛАЗАМ.
>>3407606 (OP)Приложение, требующее номер телефона при регистрации по определению не может быть анонимным. Так что непонятно, что за хайп.
Автора уже обосрали в комментах, судя по всему. Я не стал вникать, но я так понял, суть в том, что если твое устройство заполучать, то тебе пизда? Ну это и так понятно. Тем более там про какой-то дырявый ведроид речь
>>3407626А там стикеры есть? Удобный вообще?
>>3407992Там нет стикеров, зато есть анальная модерация.
>>3407992>а там стикеры есть>>3407824
А вам не кажется странным, что новостей про то, что ФБР/ЦРУ/АНБ США повязало какого нибудь наркоторговца или ЦП диллера, ну или на крайняк террориста какого через эксплойт? То есть, вообще новостей нет. Вообще. Вон Франция получила доступ к сикрет чату, Иран перехватил данные, Раша обосралась в блоке, одни США как будто живут в параллельной вселенной, где нет телеги. Вот и делайте выводы, да чекните разрешения, которые "приватная" телега запрашивает.
>>3407606 (OP)Как по мне, так это просто попытка автора статьи выехать на хайпе о Телеграме. Отсутствие же реакции на тего у саппорта очень проста, его пост и не стоит реакции. Если сократить статью, то его предложение таково.1. Каким-то образом перехватываем СМС (как - хз)2. Каким-то образом проникаем на смартфон и получаем рут доступ к андроид (КАК, БЛИАТЬ, А ЕСЛИ РУТА, НЕТ???)3. Брутим файл с паролем и получаем доступ к переписке. Кажется, что третий вариант самый простой, но если использовать сложный пароль с спецсимволами, то на обычном ПК брутить можно будет например год, Лол.
>>3408046Гугли playpen fbi
>>3407606 (OP)>Иран перехватилЛол, даже обезьяны могут, а РКН с гебнёй нихуя не может и только слёзы льют.
>>3408064>Отсутствие же реакции на тего у саппорта очень проста, его пост и не стоит реакцииЯсное дело.В нормальной стране нормальные сервисы не игнорируют своих пользователей, в пахомии же - ЯСКОЗАЛ ФСИО НАРМАЛЬНА БОЯТСЯ НЕЧИВА СКРЫВАТЬ НЕЧИВА УХАДИ И НЕ ДОСТАВАЙ САППОРТ)))
>>3407901Обойди мне с рутом защиту dm-crypt/luks.Сможешь?
>>3408092Ща, подожди, в методичке посмотрю.
>>3408081То есть плохо, что гэбня вместо простого взлома и перехвата пыталась добиться законного доступа?
>>3408107Да, Пукин Дурову даже депутатское месте не предлагал взамен. Какой нахуй законный доступ.
>>3407613>Жду набега школодаунов с криками "лахта " и 'нивирю"Лахта даже не палится лол
>>3407694Можно пользоватся ватсапом. С настоящим шифорванием.
>>3408182>ватсапомОн же пиздец неудобный
>>3408222Да вроде одно и то же говно.Тоже чатики есть. Ботов только нет.
>>3408231У него нет клиентов под планшеты и десктопы. И, вообще, он очень назойлив. Пытается скачать фотки в галерею, бесконечно требует включить уведомления...
>>3407606 (OP)> 1) Французская полиция получила доступ к содержанию секретного чата через уязвимостьДля этого они использовали телефон одного из участников секретного чатаОМГ
>>3408246Есть же. И под планшеты и под пк есть.Все через телефон делается, естественно. Qr-код считываешь и можно подключить пк.
>>3407606 (OP)>Наканецта! Ебать ты слоупок, все было очевидно еще когда телегу разместили в аппсторе, правила которого обязывают получать приложения-чаты лицензию в бюро какого-то экспорта, разрешение от АНБ, грубо говоря, которое выдается если у тебя использется шифрование на которое есть закладки либо ты предоставляешь закладки - ключи доступа. Просто пиздец, тупорылые дети, как же вы заебали
Но ведь умные люди просто удаляют сообщения после передачиКак гебня будет восстанавливать историю?Никак
>>3408441Они получают его копию быстрее чем ты его увидишь, если что
>>3407762Че за хуйню ты пишешь? У меня телеграм стоит на телефоне и есть ПК версия. Пользуюсь без прокси. Билайн на телефоне и МТС на ПК его не блокируют.
>>3407631Путаешь, $800 млрд
>>3408385>Все через телефон делается, естественно.Вот это и плохо. Сядет телефон - и ничего писать нельзя. Бредовая архитектура.
>>3408246>У него нет клиентов под планшеты и десктопы. Как это нету? Оно даже в оперу встроено по дефолту.
>>3408645Под айпады его не было и нет. То же, что есть под десктопы - это так называемая "веб-версия", которая к тому же требует, чтобы смартфон был в сети.
>>3408671А, нет, вру. И правда, уже появился под десктоп.
>>3407626>>3407848>Хорошая картинкаХорошая, хорошая. А теперь, гражданин, пройдёмте.
>>3408671>айпадДебилы должны страдать.
>>3407867Вот только ты не понимаешь, что это означает.Это означает что никакого e2e там нет, и Пашка может точно так же этот ключик себе на сервер прислать, и потом все твои сообщения расшифровать.
>>3407606 (OP)1) Любой софт содержит уязвимости. Никаких исключений.2) Чем популярнее софт, тем лучше его аудит, НО чем популярнее софт, тем чаще его пытаются взломать.3) Закрытый исходный код а также использование серверов третьих лиц - 100% гарантия доступа третьих лиц к личным данным. Никаких исключений.
>>3408545Эта бредовая архитектура защищает тебя от низкоранговых ментов, привыкших получать переписку по устной просьбе. Тебе выбирать...
>>3408683 Та же веб-версия, просто в виде отдельного приложения
>>3407606 (OP)>сбрутить, мануалТы уверен, что тебя поймут все?
Просто запомните на всю жизнь. Все что сделано пидорашками кривое.
Всё равно лучше, чем IRC ничего не было и нету!
>>3407901В ГОЛОСИНУ !!! ЭТО ПЯТЬ
>>3407606 (OP)>ща вам расскажу как взломать с помощью пары мобил и люнекса>отправил багрепорт, отправил еще раз, и еще разГде способ то блядь?
>>3407626
>>3407901Действительно блять.Понаделают рутов, что аж переписку в .txt в скрытых каталогах теперь не похранить!!!!1!
>>3408182Осталось найти друзей с ватсапом
>>3408671А как ты себе еще представляешь энд-то-энд шифрование?
>>3407626Но это говно для дебилов
Мда.. Что за даун писал этот высер? Точно так же можно написать про взлом Тора:1. Каким то раком находим выходную ноду в хуй знает какой стране.2. Пиздим хозяина ПК по голове, связываем и кладем в шкаф.3. Снифим весь трафик.4. Profit???!!!Про MiD вообще лол. В дырявом ведроиде так можно почти все сломать. Ты бы блядь еще написал про взлом телеграмма клонированием сим карты..
Лахта блядь совсем обленилась, такую херню форсить. Даже там бабки пилят и нихера не стараются.
>>3408793Ты охуел, уёбок?Айпад - лучший планшет и всегда им был
>>3408841>Эта бредовая архитектура защищает тебя от низкоранговых ментов, привыкших получать переписку по устной просьбе. Тебе выбирать...Хотелось бы больше пруфов.
>>3408092Просто беру и монтирую. У меня есть образ, есть ключ, есть права. Какие могут быть проблемы?
>>3412203Ну вот напримерhttps://www.vb.kg/doc/296990_sledstvie_tak_i_ne_mojet_prochitat_perepisky_ybitoy_dyyshebaevoy_v_whatsapp.html"Читают" вотсап сейчас дедовским способом - изъятием телефонов либо получением от гугла нешифрованных копий чатов, которые делают 95% хомяковОднако:https://tengrinews.kz/internet/polzovateley-WhatsApp-jdet-ogromnoe-razocharovanie-347148/> будет ослаблено шифрование с возможностью доступа третьих лиц (американских спецслужб)Подробнее: https://tengrinews.kz/internet/polzovateley-WhatsApp-jdet-ogromnoe-razocharovanie-347148/Любое использование материалов допускается только при наличии гиперссылки на Tengrinews.kz
>>3410452ты охуел на Тор наезжать? там все зашифровано https
