Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности

[admin_]

В последние дни среди протестующих в Гонконге появилась паника в связи с тем, что по каналам распространяется заявление о наличии методов у полицейских по определению телефонных номеров пользователей Telegram. Команда Дурова дала ответ на это заявление. На ситуацию обратил внимание alizar, пользователь Habr.
Для того, чтобы получить телефонные номера пользователей, сотрудники правоохранительных органов генерируют контакт-лист с тысячами телефонных номеров по порядку. Далее они добавляются в группу протестующих из Гонконга, после чего мессенджер показывает, какие пользователи из контакт-листа уже присутствуют в группе. Данная схема легко автоматизируется для перебора большого количества телефонных номеров:
Порядок деанонимизации протестующих полицией Гонконга
Скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку. Далее добавляется в группу протестующих. Telegram сообщает, какие пользователи из контакт-листа уже есть в группе. Скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера, — пишет пользователь alizar.
По данным самих активистов, таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках мессенджера запрет на пока телефонного номера. Несколько специалистов из области информационной безопасности проверили информацию об эксплоите в Telegram:
Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы, — заявил Чу Ка-Чонг, директор Интернет-общества Гонконга.
Ка-Чонг также подчёркивает, что были подозрения по факту того, что некоторые спонсируемые правительством злоумышленники воспользовались наличием ошибки для вычисления протестующих в Гонконге. При этом специалист уверил, что Telegram сейчас является основным способом коммуникации, поэтому отказаться от него будет крайне сложно.
Что говорят в команде Telegram?
По обращению издания ZDNet команда Дурова изучила вопрос. В компании опровергают наличия существующего бага, фактически указывая на то, что это заранее продуманная функция с предустановленными мерами защиты для предотвращения подобных случаев. В Telegram подчеркнули, что по факту импортировать удалось лишь 85 контактов, а не 10 000:
У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют, — заявил представитель Telegram.
Ситуация несколько схожа с недавним расследованием «Медузы», в котором издание описало процесс деанонимизации владельца канала «Товарищ майор» — в этом «Медузе» помогла программа «Инсайдер Telegram», разработанная в АНО «Центр исследований легитимности и политического протеста»:
Сейчас в базе программы — больше 10 миллионов номеров. Мы просто проверяем на наличие в телеграме все телефоны подряд: берем, допустим, все номера, которые начинаются с +7911 — и от нулей до девяток прогоняем всю эту номерную емкость. Вы ведь автоматически видите у себя в телеграме контакты тех пользователей, которые внесены в вашу телефонную книжку на смартфоне? Ну а мы просто вносим в свою очень толстую «телефонную книжку» всех пользователей страны.

На форуме в даркнете опубликовали базу с несколькими миллионами пользователей Telegram. Как пишет 23 июня «Код Дурова», файл с данным занимает около 900 мегабайт.
Причем сотрудникам издания удалось найти некоторые телефонные номера знакомых по никам в мессенджере. Также в базе указывается уникальный идентификатор пользователя.
В пресс-службе Telegram заявили, что в курсе существования такой базы и пояснили, что подобная информация собирается через встроенную функцию импорта контактов при регистрации в мессенджере.
«Такие базы обычно содержат соответствия «номер телефона — идентификатор пользователя в Telegram». Они собираются через злоупотребление встроенной функцией импорта контактов при регистрации пользователя. К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор», - пояснили изданию представители мессенджера.
Кроме того, там добавили, что большинство слитых аккаунтов неактуальны, и еще в 2019 году были приняты меры, которые позволяют скрывать свой телефонный номер.
«Анализ данных этих баз показывает, что дополнительные меры, предпринятые нами в конце лета 2019 в ответ на сообщения о переборе номеров пользователей Гонконга, оказались эффективны. Более 84% данных собраны до середины 2019-ого года. Большая часть аккаунтов этой базы — не менее 60% — содержит уже неактуальные данные. Это может говорить о том, что в прошлом году нам удалось значительно снизить масштаб и скорость такого рода злоупотреблений», - подчеркнули представители Telegram.
По данным самого мессенджера, в базе содержится около 70% аккаунтов пользователей из Ирана и 30% - из России.
Напомним, после проблем у пользователей из Гонконга в мессенджере появилась настройка «Кто может добавлять меня в контакты по номеру телефона». Это позволяет активистам протестных движений полностью скрывать связь между аккаунтом и номером телефона.