Поддержать команду Зеркала
Беларусы на войне
  1. Ситуация с долларом продолжает обостряться — и на торгах, и в обменниках. Рассказываем подробности
  2. Считал безопасной страной. Друг экс-бойца ПКК рассказал «Зеркалу», как тот очутился во Вьетнаме и почему отказался жить в Польше
  3. «Ребята, ну, вы немножко не по адресу». Беларус подозревает, что его подписали на «экстремистскую» группу в отделении милиции
  4. Настроили спорных высоток, поставили памятник брату и вывели деньги. История бизнеса сербов Каричей в Беларуси (похоже, она завершается)
  5. Придуманный мир. Идеологам раздали методички о том, как убедить беларусов голосовать за Лукашенко — оцените содержание сами
  6. Россия нанесла удар по Украине межконтинентальной баллистической ракетой
  7. Стало известно, кого Лукашенко лишил воинских званий
  8. КГБ в рамках учений ввел режим контртеррористической операции с усиленным контролем в Гродно
  9. К выборам на госТВ начали показывать сериал о Лукашенко — и уже озвучили давно развенчанный фейк о политике. Вот о чем речь
  10. «Более сложные и эффективные удары». Эксперты о последствиях снятия ограничений на использование дальнобойного оружия по России
  11. Люди выстраиваются в очередь у здания Нацбанка, не обходится без ночных дежурств и перекличек. Рассказываем, что происходит
  12. Telegram хранит данные о бывших подписках, их могут получить силовики. Объясняем, как себя защитить
  13. Для мужчин введут пенсионное новшество
  14. На торги выставляли очередную арестованную недвижимость семьи Цепкало. Чем закончился аукцион?
  15. Лукашенко помиловал еще 32 человека, которые были осуждены за «экстремизм». Это 8 женщин и 24 мужчины
  16. Задержанного в Азии экс-бойца полка Калиновского выдали Беларуси. КГБ назвал его имя и показал видео


Из мобильного приложения Telegram можно перейти в его браузерную версию без дополнительных проверок и паролей. Теоретически этой функцией могут пользоваться злоумышленники — например, силовики во время проверок телефонов на границе. Рассказываем, как работает еще одна уязвимость популярного мессенджера и как себя обезопасить.

Снимок носит иллюстративный характер. Фото: Viralyft, pexels.com
Снимок носит иллюстративный характер. Фото: Viralyft, pexels.com

В чем суть проблемы

В Telegram есть встроенная функция автологина, с помощью которой можно без дополнительных проверок перейти из учетной записи в мобильной версии мессенджера в его учетную запись в браузере и/или приложении на компьютере.

Сделать это можно двумя способами.

  1. Если открыть веб-версию Telegram в браузере или приложение мессенджера на компьютере, на экране появится QR-код, который нужно отсканировать из мобильной версии мессенджера («Настройки» — «Устройства» — «Подключить устройство»). Это более защищенный способ автологина, так как для входа Telegram попросит ввести еще и облачный пароль (если им защищена учетная запись). Для безопасности аккаунта облачный пароль всегда должен быть включен! Включить его можно в разделе: «Настройки» — «Конфиденциальность» — «Облачный пароль».
    QR-код для входа в браузерную и ПК-версию Telegram
    QR-код для входа в браузерную и ПК-версию Telegram
  2. Перейти из мобильного приложения Telegram по ссылке web.telegram.org. Если вы нажмете на такую ссылку в любом чате или канале мессенджера (например, в канале «Избранное»), то в браузере на этом же устройстве будет произведен автоматический вход в вашу учетную запись. В этом случае Telegram не попросит вас вводить никаких дополнительных паролей.

Как уязвимостью могут воспользоваться злоумышленники

Функция автологина встроена в мессенджер. Отключить ее нельзя. В ситуации, если ваш телефон даже на короткое время попадет в чужие руки, злоумышленник может с помощью этой функции сначала открыть вашу учетную запись в браузерной версии Telegram, а затем скопировать эту сессию к себе на компьютер, чтобы следить за активностью в вашем аккаунте в реальном времени.

Таким же образом этой уязвимостью могут пользоваться силовики, которые проверяют телефоны беларусов, например, во время пересечения границы.

Журналисты «Медиазоны» описывали, как технически может выглядеть этот процесс.

Они создали новый аккаунт в Telegram с двухфакторной аутентификацией, в который зашли с Android-устройства (айфоны работают аналогично). Пройдя по ссылке, журналисты моментально получили доступ к тому же аккаунту в браузере Chrome этого же мобильного телефона. Никаких кодов или прохождения двухфакторной аутентификации не потребовалось.

Затем они включили в настройках телефона опцию USB Debugging и подключили его к компьютеру. На компьютере, используя в браузере Chrome режим Remote Debugger, открыли вкладку с Telegram, перешли в раздел, где хранятся сессии сайта в мобильном браузере, и полностью перенесли содержимое этого раздела в аналогичное место в браузер на компьютере.

После этого осталось лишь обновить до этого пустую страницу Telegram на компьютере, и журналисты получили полный доступ к тому же аккаунту, не проходя никаких дополнительных проверок, не зная никаких паролей или кодов. На других устройствах этот вход отображался как та же сессия, что была создана при автологине.

— Большинство воспроизведенных нами действий несложно автоматизировать, так что таким методом за секунды можно собрать сессии ко всем популярным сайтам, не только к Telegram. Все, что для этого нужно силовикам, — ненадолго получить в свои руки разблокированный телефон (и для Telegram — войти в веб-версию с помощью автологина), — сделали вывод исследователи.

Как себя обезопасить

После того как ваш телефон побывал в чужих руках (или вы заметили странную активность в телеграм-аккаунте), обязательно проверьте список устройств, подключенных к мессенджеру.

Сделать это можно в разделе «Настройки» — «Устройства». Там отображается список девайсов, которые подключены к учетной записи. Если среди них вы обнаружили чужое устройство, его необходимо удалить из списка. Кликните на него и нажмите «Завершить сеанс».

Раздел "Устройства" в настройках Telegram
Раздел «Устройства» в настройках Telegram

Также напоминаем, что во время проверки телефона силовики могут устанавливать на него специальные программы по сбору информации — например, бот «Магнит» в Telegram. Поэтому после того как устройство побывало в их руках, рекомендуется сбросить настройки техники до заводских, удалить старый и создать новый аккаунт в Telegram. В идеале — купить новое устройство.

Силовики активно пытаются добраться до личной информации беларусов. «Зеркало» предупреждает о рисках и дает конкретные инструкции, как обезопасить свои аккаунты. Мы заботимся о вашей цифровой безопасности, это важно, даже когда вы не живете в Беларуси постоянно.

Поддержите редакцию

Станьте патроном «Зеркала» — журналистского проекта, которому вы помогаете оставаться профессиональным и независимым. Пожертвовать любую сумму можно быстро и безопасно через сервис Donorbox.



Всё о безопасности и ответы на другие вопросы вы можете узнать по ссылке.