[Bijgewerkt] Telegram kan een nieuwe optie toevoegen om de privacy van telefoonnummers te beschermen

Dit verhaal wordt continu bijgewerkt….nieuwe updates worden onderaan toegevoegd…..

Mogelijk ondersteunt Telegram een ​​nieuwe privacymodus waarmee mensen hun telefoonnummer kunnen beschermen tegen vreemden. Het bedrijf weigerde echter commentaar te geven op het probleem dat onlangs opdook en beweerde dat de bug niet kan worden misbruikt.

Eerder deze maand meldden beveiligingsonderzoekers en leden van de "Internet Society Hong Kong" een probleem in Telegram Messenger dat leidt tot het vrijgeven van telefoonnummers van miljoenen mensen. Het probleem vormt een bedreiging voor elke Telegram-gebruiker die openbare chats of kanalen gebruikt, waardoor het mogelijk wordt om het telefoonnummer van de gebruiker te identificeren, waarvan werd aangenomen dat het voorheen verborgen was voor vreemden.

[Bijgewerkt] Telegram kan een nieuwe optie toevoegen om de privacy van telefoonnummers te beschermen

Wat is er nieuw?

Gisteren is een nieuw stuk tekst toegevoegd aan de officiële "vertalingen" van Telegram Messenger, waarin wordt beweerd dat er een nieuwe optie zal zijn voor de privacy van telefoonnummers van iOS-gebruikers:

Gebruikers die uw nummer aan hun contacten toevoegen, zien het alleen op Telegram als zij uw contacten zijn.

Er zijn redenen om niet zo snel gelukkig te zijn. Ten eerste is het nooit genoeg om zo'n optie aan vertalingen toe te voegen. Telegram moet zijn API bijwerken en vervolgens een update voor alle platforms uitbrengen zodat gebruikers de optie kunnen inschakelen. De optie is er gewoon nog niet.

Ten tweede is het zeer onwaarschijnlijk dat Telegram standaard telefoonnummerbeveiliging voor alle gebruikers zal inschakelen. In tegenstelling tot sommige andere messengers, verbergt Telegram je telefoonnummers voor vreemden, maar vertrouwt het er tegelijkertijd sterk op als op een distributiemechanisme. Het zal elke mogelijkheid gebruiken om zich over uw contacten te verspreiden, zodat u altijd weet of een van uw vrienden Telegram nu gebruikt.

Als verbeterde privacy standaard wordt ingeschakeld, zullen minder mensen elkaar vinden, omdat voor het vinden van hen beiden zelf contacten moeten hebben, wat niet goed is voor de zakelijke ambities van Telegram - Pavel Durov is van plan zijn blockchain-platform binnenkort te lanceren en te integreren in de boodschapper ecosysteem.

Hoe ernstig is de kwetsbaarheid?

Het basisidee is dat iedereen een telefoonnummer kan typen om te controleren of de gebruiker is geregistreerd in Telegram of niet. Maar, verrassend voor velen, lijkt er een manier te zijn om Telegram API-limieten te misbruiken en miljoenen nummers te "controleren" die nuttige informatie extraheren - wat zijn unieke ID's, gebruikersnamen, van elke actieve gebruiker.

Een dergelijke aanval vereist bepaalde tijd en middelen, en vormt geen probleem voor overheidsinstanties.

Een theoretische gok dook enkele jaren geleden voor het eerst online op. Toen, een jaar geleden, werd bevestigd dat het werkte en "as-a-service" aan regeringen werd verkocht. Op 9 augustus 2018 werd door journalisten ontdekt dat een weinig bekend Russisch bedrijf software had gemaakt “Kriptoscan” en voegde meer dan 10 miljoen telefoonnummers toe aan hun database.

Voor elk van hen werd een interne Telegram-gebruikers-ID, gebruikersnaam, profielfoto en naam opgeslagen in de database. Dit geeft de database-eigenaar de mogelijkheid om de meeste Russische Telegram-gebruikers in minder dan een seconde te identificeren, gewoon door naar hun profiel in Telegram te kijken of iemands doorgestuurde bericht te lezen. Bedenk dat Telegram in totaal (officieel) minder dan 7 miljoen actieve gebruikers in Rusland heeft, ze zouden bijna elk Russisch telefoonnummer hebben gecontroleerd.

Het definitieve bewijs van het succes van de operatie verscheen twee weken later toen andere journalisten besloten het bedrijf te vragen een gebruiker te identificeren die zijn identiteit verbergt en alleen een gebruikersnaam heeft - een korte link, alleen effectief binnen Telegram. De eigenaren van "Kriptoscan" waren zo vriendelijk om journalisten gratis het telefoonnummer te geven in ruil voor reclame.

Zoals ze beweren, is hun software ontworpen om bruikbaar te zijn voor FSB, de Russische staatsveiligheidsdienst. Het is dus heel redelijk voor elke Hong Kong-activist om alert te blijven en klaar te zijn om door de autoriteiten te worden geïdentificeerd.

Het bedrijf probeert zichzelf te promoten op sociale netwerken en reageert op een bericht van Chu Ka-chong, die een beroemde tweet schreef, met een screenshot van hun database:

[Bijgewerkt] Telegram kan een nieuwe optie toevoegen om de privacy van telefoonnummers te beschermen

Wat is de reactie van Telegram?

Op 23 augustus 2019 gaf Telegram commentaar op het probleem dat op internet werd besproken en zei: "Er is geen bug: net als WhatsApp of Facebook Messenger is Telegram gebaseerd op telefooncontacten. Dat betekent dat je je contacten moet kunnen zien die ook de app gebruiken”.

Hiermee gaf Telegram geen commentaar op de informatie over mogelijk misbruik van hun API en bescherming tegen herhaalde controles en mogelijke kwetsbaarheid in de legitieme API-methoden die het telefoonnummer op verzoek vrijgeven (het probleem dat in 2018-onderzoek werd genoemd).

Update 1 (1 september)

Volgens een rapport heeft Telegram besloten de identiteit van demonstranten van de autoriteiten van Hong Kong of het Chinese vasteland te beschermen door gebruikers een optie te geven om matching op telefoonnummer uit te schakelen. Hier kun je meer over lezen.

Credits voor het schrijven van dit artikel: Dmitrij Igorevich

Facebook Twitter Google Plus Pinterest