Telegram научился защищать юзернейм от угонаАдмины популярных Telegram-каналов и групп часто сталкивались с перехватом их юзернеймов. В чат или канал накручивали ботов, владелец пытаясь отбиться от этого переводил чат или канал в приват, но не успевая зарезервировать адрес, терял его, потому что чекеры перехватывали его быстрее.
Об этом мы
писали, и советовали не переводить канал в приватный при таких атаках.
Теперь, угнать юзернейм таким способом не получится, в команде разработчиков нашли решение.
tginfo.me/safe-username
При потере нужно будет сим-карту восстанавливать и пока это сделаешь устройство могут найти. Не говоря уже о краже.
2) Если бы в Телеграм действительно заботились о безопасности, то таки TOTP бы реализовали, у которого проблем поменьше будет, если пользователь действительно захотел безопасности. Даже смышлённый человек может попасть на вирус при очередной дыре. На вашем месте я бы не был столь уверен, что "это его проблема", в условиях, когда уже придуманы более надёжные механизмы.
> исходники всех клиентов открыты, но ничего такого всё ещё нет
Удивительно, что ничего такого ещё нет, если озвученный мной вирус представлялся другими приложениями и таки воровал важные данные. Если вы захотели конкретно для Телеграмма и 2fa, то подождите пока доля Телеграмма вырастет. Тогда не столько для Whatsapp трояны будут.
Позже ещё раз проверю лично на новом мобильном номере текущую ситуацию, т.к. на запасном после очередной попытки это адекватно не сделать.
2) Ну вы можете привести пример взлома? Когда двухфакторка была взломана? А то вы пока только пустословите.
То есть трояна нет который ворует двухфакторку, верно? Ну значит вы опять пустословите, сколько можно?
2) Двухфакторка была взломана 4 года назад. Вы уже в курсе. Это раз. О всех случаях я не знаю. Это два. Взлом других приложений троянами я вам привёл. Это три. С помощью троянов это технически возможно, даже если пока не столь популярно.
На линукс дистрибутивы тоже "вирусов не было" до тех пор, пока в них зажигали 2.5 гика. Что мы видим сейчас? Сколько таких как вы ранее было?
Это у вас проблемы, если не смогли понять, что я о "третьей стороне".
Не у всех есть ПК, а те, кто переживает за аккаунт делает себе запасную сессию.
2) Нет, не вижу, то что вы кидали — пустословие а не "взлом двуфакторки".
Влом друиз приложений это влом лруих приложений, глевлом телеграм? С чего вы взяли чо пароль от двуфакторки лежит локально на устройстве?
Ну раз это технически возможно, почему до сих пор ничего нет?
Ну вот когда покажете трояны, тогда и поговорим, сейчас это пустословие, как и большая часть что вы пишите.
Тогда пишите без ошибок, чтоб вас понимали.
2) "глевлом телеграм"? Там же, где и взлом линукс-дистрибутивов несколько лет назад. Пальцем показывать не собираюсь.
> С чего вы взяли чо пароль от двуфакторки лежит локально на устройстве?
Если бы вы начали думать, то поняли бы, что пароль от двухфакторки можно снять перехватывая нажатия клавиш, как это часто и делают. Или же социальной инженерией с отображением окна изменённого окна в приложении, как это делает вирус, который я уже называл при обсуждении выше. Предлогом может быть что угодно, хоть "Ваш аккаунт пытаются сбросить. Отменить?".
Но нет, вы о подобном не можете подумать.
Я пробовал с почтой и попал на ожидание в 7 дней. Ранее подобного не замечал и механизм был иным. Позже буду пробовать без почты, как Евгений.
Уже линуксы начали проводить в пример, лучше покажите пример взлома двухфакторки не из 2016, тогда будет что обсудить, сейчас это чушь и ересь.
Но чтоб это случилось, надо заставить пользователя написать это пароль, то есть воспроизвести, это тоже самое что прийти к нему домой с оружием и заставить сказать этот пароль, это бред, пользователь который беспокоится за свои данные, не ставит непонятный софт, а мамонтов которые оставляют данные своих карт на фишинг сайтах и так полно, если вы к этому клоните.
Вы какую-то ахинею сейчас пишите, если человек добровольно говорит свой пароль то это проблема человека, при чём тут Telegram?
Достать 2fa пароль от Телеграм на Windows технически проще, чем одноразовый пароль от
Google Authenticator на Android.
> надо заставить пользователя написать это пароль
С каких там годов социальная инженерия существует? Хотите мне сказать, что она исключительно относительно хомяков работает? Ошибаетесь.
> человек добровольно говорит свой пароль
Переставайте перекручивать мои слова. Я не говорил, что человек должен "говорить" пароль. Узнать пароль могут внедрившись в память процесса Telegram и отобразив нативное окно с стилизацией Telegram, как это делает тот же вышеуказанный троян. Вижу, что уровень ИБ у вас крайне высок. Хотите сидеть в своём укромном безопасном мире с Телеграмом -- сидите, не буду мешать. Этот диалог с тупыми высказываниями и перекручиванием мне уже начинает надоедать.
Примеры взлома другого софта сразу мимо, вы реально не подозреваете что мессенджеры могут немного по разному работать?
Если это технически легко, заберите мой пароль от духфакторки.
Никто не спорит что соц инженерия существует, но если человек пишет кому-то свой пароль он в принципе не хомяк а лох, ещё скажите что надо написать в личку жертве и попросить код.
Где ваш троян который это делает? Вы же сами сказали что его нет, как несуществующий троян сдеает это?
Наоборот же, если почта привязана, то забытую двухфакторку можно восстановить через неё, а если не привязана, то нет
Разве это не более безопасно, когда двухфакторку не восстановить?