Дальше будут оговорки. Тем не менее я думаю, что многие не ждут угрозы со стороны, о которой пойдёт речь. Начну издалека, но постараюсь быть кратким.
Ко мне обратился владелец взломанного telegram аккаунта с просьбой о помощи. В его аккаунт вошёл злоумышленник, завершил сессии на устройствах владельца, и начал играть в фишинг с его контактами. Выбросить злоумышленника из аккаунта не удалось, поскольку его сессия стала самой продолжительной, и он постоянно завершал все новые сессии. Также нельзя было удалить аккаунт, поскольку telegram “по причинам безопасности” не дал удалить аккаунт в текущий момент, а только лишь запустил таймер, который удалит аккаунт через 7 дней. К сожалению, лучшее, что можно было сделать оперативно - это предупредить контакты по не скомпрометированному каналу о том, что telegram был взломан.
Но мы решили провести небольшой анализ, чтобы понять, каким образом аккаунт был взломан и пришли вот к чему:
Стандартная процедура входа в telegram:
Процедура входа в telegram через QR код:
Выше - скукотища, которую вы и так знаете. Дальше - интересно.
Процедура входа в telegram в “регионах с дорогими sms”:
То есть, у telegram есть некий список регионов, в которых sms он отправляет неохотно. В этих регионах он делает это только в двух случаях:
Наверняка, регистрируя аккаунт на номер сотового, вы ожидаете, что он будет ключом доступа в ваш мессенджер, поскольку так делают все популярные мессенджеры. Но, как видите, в случае с telegram это работает не всегда.
Если ваш e-mail взломали и вам посчастливилось жить в регионе “с дорогими sms”, этого будет достаточно для того, чтобы попасть в ваш telegram, поскольку все необходимые коды можно получить просто на e-mail. Уверен, владельцы криптокошельков в telegram возрадуются этой новости вдвойне.
Будьте осторожны, и держите ваши данные в безопасности, вне зависимости от региона проживания.
Можно ввести если несколько раз при восстановлении пароля нажать что “не приходит смс”, тогда Telegram предлагает ввести e-mail и высылает на него код подтверждения, после этого почта привязывается к аккаунту. Собственно такое поведение и является вектором атаки.
Я совершенно случайно об этом узнал когда тестировал приложение работающее с Telegram через Telethon, по итогу меня разлогинило отовсюду (хорошо хоть не на основном аккаунте тестировал), во время многочисленных попыток зайти обратно мне и удалось привязать e-mail.
Хм, интересно… Т.е. владелец взломанного аккаунта в статье специально нашёл эту незадокументированную фичу чтобы указать свой Email адрес для восстановления пароля прежде чем аккаунт был похищен? Тут можно было уже писать новость что телеграмм предлагает возможность регистрироваться по Email'у, ибо про это нет информации даже на самом сайте телеграма.
А то у меня есть паксистанский номер на который зарегистрирована телега, но если номер протухнет, то доступ к аккаунту я потеряю.
То есть можно сменить пароль у любой учетной записи Телеграм, отказавшись получать SMS и указав свою электронную почту для получения кода?
можно, но скорее всего для этого нужно знать пароль от 2ФА, но часто это не проблема, т.к. многие используют один и тот же пароль везде
То есть злоумышленник может вообще любой email привязать к вообще любому аккаунту? Это посерьезнее дыра будет, чем то, что в посте написано.
Мне мне кажется что не всё так плохо и просто номер знать недостаточно, нужно что бы был установлен пароль как второй фактор и злоумышленник должен его знать, но часто это не проблема (см. мой коммент выше).