Пока кто-то упрекает Дурова, что он не сопротивляется блокировке Телеграма (очнитесь, сейчас не 2018), незаметно проходит куда более важный повод для упрёков.
-
В феврале начинается замедление серверов Телеграма, раздающих медиа-контент. А что Telega? А в Telega всё работает, туда вшили MTProxy. И MitM¹
Причём довольно красиво. По флагу с сервера трафик пользователя перенаправляется на фейковый датацентр Телеграма, которому этот клиент доверяет.
Так же по флагу с сервера можно отключить секретные чаты и Perfect Forward Secrety (защиту от расшифровки всех сообщений, при утечке основных ключей шифрования).
Наконец, 18 марта было зафиксировано временное включение MitM в этом клиенте.
Полный отчёт об этом, а также о реверсе клиента тут: https://dontusetelega.lol/analysis
Внимание, вопросы:
- А почему оно до сих пор в сторах?
- Дуров предупредит же пользователей об опасности?
- Конкурс¹ Телеграма для дизайнеров о концепции Telegram Nodes это же просто совпадение? -
Наконец, 18 марта было зафиксировано временное включение MitM в этом клиенте.
Полный отчёт об этом, а также о реверсе клиента тут: https://dontusetelega.lol/analysis
Внимание, вопросы:
- А почему оно до сих пор в сторах?
- Дуров предупредит же пользователей об опасности?
- Конкурс¹ Телеграма для дизайнеров о концепции Telegram Nodes это же просто совпадение?@foxy это что все шифрование telegram и безопасность оказывается хуйня?
-
@foxy это что все шифрование telegram и безопасность оказывается хуйня?
@hardworm удивительно, что если отбросить контекст «Telega», то язык всё равно не повернётся ответить нет))
На всякий случай серьёзный ответ: не хуйня. Но никакое шифрование не поможет, если добровольно ставить себе всякую фигню
-
@hardworm удивительно, что если отбросить контекст «Telega», то язык всё равно не повернётся ответить нет))
На всякий случай серьёзный ответ: не хуйня. Но никакое шифрование не поможет, если добровольно ставить себе всякую фигню
@foxy ты не контролируешь свое устройство полностью. Google/apple может что-то ставить по команде, удалять с твоего смартфона и много чего еще интересного.
Ты не знаешь у тебя стоит сейчас официальный telegram или заряженная telega собранная лично для тебя и поменная заботливо по команде через google. И telegram не контролирует это с серверной стороны - эй чувак у тебя какая-то херня, я не буду работать.
По сути контроль сборок есть только в f-droid. И по сути хоть как-то можно быть уверенным в шифровании telegram - это свободная проверенная прошивка без Google + fdroid с пакетом с подтверждением.
Более того есть сомненье к этому нейрослопу. Ибо обычный telegram из gplay работает через proxy от telega и ему вообще все нравится.
-
@foxy ты не контролируешь свое устройство полностью. Google/apple может что-то ставить по команде, удалять с твоего смартфона и много чего еще интересного.
Ты не знаешь у тебя стоит сейчас официальный telegram или заряженная telega собранная лично для тебя и поменная заботливо по команде через google. И telegram не контролирует это с серверной стороны - эй чувак у тебя какая-то херня, я не буду работать.
По сути контроль сборок есть только в f-droid. И по сути хоть как-то можно быть уверенным в шифровании telegram - это свободная проверенная прошивка без Google + fdroid с пакетом с подтверждением.
Более того есть сомненье к этому нейрослопу. Ибо обычный telegram из gplay работает через proxy от telega и ему вообще все нравится.
> поменная заботливо по команде через google
Но только при условии, что я установил её из Google Play. В противном случае им придётся персонально для меня отключать проверку подписей при установке приложений.
Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
> обычный telegram из gplay работает через proxy от telega.
Конечно работает. Потому что это обычный MTProxy. И я бы ожидал, что они свернут их, когда наладят MitM для всех
-
> поменная заботливо по команде через google
Но только при условии, что я установил её из Google Play. В противном случае им придётся персонально для меня отключать проверку подписей при установке приложений.
Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
> обычный telegram из gplay работает через proxy от telega.
Конечно работает. Потому что это обычный MTProxy. И я бы ожидал, что они свернут их, когда наладят MitM для всех
>Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
Не понимаю этой истории про сорта майоров каждый раз, но кроме версии про внедренный психоз все мимо.
з. Ы.
Сертификаты jabber.ru заграничные майоры подменивали. -
> поменная заботливо по команде через google
Но только при условии, что я установил её из Google Play. В противном случае им придётся персонально для меня отключать проверку подписей при установке приложений.
Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
> обычный telegram из gplay работает через proxy от telega.
Конечно работает. Потому что это обычный MTProxy. И я бы ожидал, что они свернут их, когда наладят MitM для всех
@foxy > Но только при условии, что я установил её из Google Play. В противном
корпаративный MDM ты не видел, да? Google\apple тебя в рот ебали и нахую вертели. И через удобный интерфейс.
> В противном случае им придётся персонально для меня отключать проверку подписей при установке приложений.
пффф... закинуть новый ключ конролируя обновления, mdm и всю инфраструктуру не проблема. Почему менять серты, отзывать и т.п. ставить софт, обновлять софт на корпаративных девайсах норма... а тут ебать копать сложность какая-то.
> Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
мои товарищ майоры не пытаются меня взорвать и развести на деньги. Как так получатеся, что вырвавшись из экосистемы big tech мне перестали звонить мошенники с хохлоины? А если и пишут в телегу объебываются притворясь руководством 3 работы назад?
> Конечно работает. Потому что это обычный MTProxy.
в статье написано, что там "правильные ключи" теперь. А что он с неправильными работает?
p.s. telega говно ебаное, потому что там нет людей умеюших в отказоустойчивую архитектуру. А те ip из vk это cloud vk - то же можешь купить там vps. Сделай там свой инсттанс mastodon порви конспиролагам жопы
-
>Только вот сейчас действительно нужно в первую очередь бояться забугорного товарища майора?
Не понимаю этой истории про сорта майоров каждый раз, но кроме версии про внедренный психоз все мимо.
з. Ы.
Сертификаты jabber.ru заграничные майоры подменивали.@kurator88 @foxy лол, а сколько лет без проблем жил под yandex...
-
Наконец, 18 марта было зафиксировано временное включение MitM в этом клиенте.
Полный отчёт об этом, а также о реверсе клиента тут: https://dontusetelega.lol/analysis
Внимание, вопросы:
- А почему оно до сих пор в сторах?
- Дуров предупредит же пользователей об опасности?
- Конкурс¹ Телеграма для дизайнеров о концепции Telegram Nodes это же просто совпадение?@foxy можно ли доверять этому анализу, учитывая, что автор пользуется генеративным ИИ? Есть ли независимые подтверждения?
-
@foxy можно ли доверять этому анализу, учитывая, что автор пользуется генеративным ИИ? Есть ли независимые подтверждения?
@foxy вроде бы правда, RKS Global тоже пишут про MitM
https://rks.global/ru/research/alt-telegram-clients/ -
@foxy вроде бы правда, RKS Global тоже пишут про MitM
https://rks.global/ru/research/alt-telegram-clients/@foxy только почему именно 18 марта, а не раньше? Не хватает объяснения.
-
R relay@relay.infosec.exchange shared this topic
