Самый эффективный убийца анонимности.

   Протестующие в Гонконге начали массово покидать самый разрекламированный «гарант» анонимности, - мессенджер Telegram. Причина: у полиции появился способ определять телефонные номера пользователей. Способ крайне незамысловат, а дыра в безопасности мессенджера оказалась размером с галактику.

   Схема действий полиции: 

1. Полиция генерирует контакт-лист с тысячами телефонных номеров по порядку. 

2. Добавляется в группу протестующих. 

3. Telegram сообщает, какие пользователи из контакт-листа уже есть в группе.

   И самый смак в том, что подобный алгоритм очень легко трансформировать на всех пользователей вообще. Достаточно создать телефонную книгу размером с базу абонентов сотового оператора страны. 

   Привязка к телефонному номеру — один из главных недостатков мессенджера, который пытается сохранить анонимность пользователей (привет ICQ из 90-х с ее UIN вместо телефонных номеров). Да, в Telegram есть возможность избежать вышеупомянутого способа деанонимизации, - запретить его прямо в меню:

   Казалось бы, проблема решена, но не тут-то было. Слово представителям мессенджера. Издание «ZDNet» обратилось за комментариями к Telegram, и компания изучила проблему: «У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария», — сказал представитель Telegram. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют». Что помешает любой спецслужбе использовать несколько ботов, деликатно не упоминается.

   Самая суть проблемы в том, что ожидания пользователей, - настройка «Никто» запретит просмотр их телефонных номеров, независимо от того, были они в списке контактов или нет. Но Telegram «обламывает» ожидания на корню: «Нет никакой ошибки: так же, как WhatsApp или Facebook Messenger, мессенджер Telegram основан на телефонных контактах. Это означает, что вы должны иметь возможность видеть свои контакты, которые также используют приложение, — говорится в сообщении компании. — Настройки номера телефона контролируют видимость номера телефона для пользователей, у которых НЕТ вашего номера (в отличие от WhatsApp, который показывает ваш номер телефона всем в любой группе)».  

   На понятный язык это переводится так: это не баг, а фича, ребят. Разработчики Telegram (как и большинства остальных мессенджеров) умышленно пожертвовали анонимностью пользователей ради роста социального графа. Через адресные книги пользователям легче устанавливать контакты со своими знакомыми. Это помогает «вирусному» распространению мессенджера и росту аудитории.

   Telegram ничто не мешает сделать авторизацию по логину, без привязки номера телефона. Либо дать возможность «выпилить» номер после начальной регистрации, чтобы он не фигурировал вообще нигде. Ничто, кроме «интересов бизнеса», конечно же. Что, мягко говоря, весьма странно для мессенджера, главной рекламой которого является безопасность.

   Дыру, естественно, в ближайшее время закроют, потому что потери от нее уже начинают превышать размеры выгоды, но у Telegram впереди запуск собственной криптовалюты и не ясно чем еще пожертвуют разработчики, когда появится самый сильный рычаг воздействия, - экономический.

   Всегда думал, что деанонимизация, - удел «высших» программистов с суперкрутым софтом. Но все гениальное, как всегда, просто: закон рыночной экономики и есть самый эффективный убийца анонимности. 

Daiversnov.

promo otrageniya april 14, 06:25 67
Buy for 40 tokens
Привет всем участникам Отражений и нашим гостям! С настоящего момента вступают в силу изменения в правила, поэтому прошу авторов ознакомиться с нижеследующим. 1. Каждый участник может опубликовать один пост в день. Чтобы иметь возможность публиковать до трех тем в день, участник должен соблюсти…

Error

default userpic

Your reply will be screened

Your IP address will be recorded 

When you submit the form an invisible reCAPTCHA check will be performed.
You must follow the Privacy Policy and Google Terms of use.