Возможный баг в Тележке

[bratva]

Сообщает либеральный журналист:

Загадочные сессии в Telegram у российских журналистов.

Три российских журналистов обнаружили у себя активные сессии в веб-версии Telegram, хотя уверяют, что не заходили в мессенджер через браузер.

Во всех случаях IP-адрес, с которого был совершен заход, не совпадал с реальным местоположением журналистов. Один находится в Германии, заход у него был якобы из Швейцарии, другой — тоже в Германии, но заход был из города, в котором он никогда не был. В третьем случае журналистка находилась в России, не использовала vpn, но зашла якобы из США.

У меня есть одно возможное объяснение появлению этих сессий — помимо взлома, который они почему-то не заметили. Есть у вас есть своя версия — пишите.

Какое-то время назад пользователи заметили, (https://t.me/tginfo/3844) что в Telegram есть возможность автологина в веб-версии без ввода кодов и паролей. Перейдите по ссылке web.telegram.org из Telegram на вашем телефоне в браузер — и у вас автоматически откроются ваши чаты.

Два важных замечания: иногда автологин происходит со второго раза (нужно еще раз попробовать зайти), на Mac’е и Linux у некоторых автологина не происходит.

Иногда автологин происходит с реального IP, на котором вы сейчас сидите, иногда — с IP другого города или даже другой страны.

В ссылке, которая генерируется при переходе из приложения, есть уникальный токен. Я несколько раз копировал ее и пытался зайти в браузер на совершенно другом устройстве, но ни разу у меня не получалось. Но Михаил Климарев предполагал, (https://t.me/zatelecom/27950) что силовики могут попробовать скопировать хэш из ссылки (например, получив физический доступ к телефону при проверке на границе), а потом зайти в ваш Telegram, когда им нужно. Напишите ваше мнение, возможно ли это.

Но как на телефонах вышеупомянутых журналистов случился автологин в веб-версии, если они, по их уверениями, не переходили по ссылке web.telegram.org? Могло ли это произойти по ошибке, например, во время сбоя в Telegram, когда траффик перенаправлялся в обход обычных путей? Не знаю, тут опять надеюсь на ваше мнение.

Баг это или фича, но с точки зрения безопасности подобный автологин выглядит довольно сомнительным удобством.

Источник: https://t.me/zakharovchannel/1299

Я проверил (web.telegram.org) на линукс-виртуалке в Firefox: реально сам определяет токен и делат автовход - без уведомлений в Телегу, без активации через код Попробовал на другой виртуалке в Хроме - не фига.

Чуйка подсказывает, что какой-то баг все таки есть.

Вопрос также к публике - как узнать точный айпи-адрес (НЕ ЛОКЕЙШЕН) активной сессии?

 

[bratva]

Мне тут в Твиттере подсказали, что это рабочая реализация - фишинг токена сессии и логин по нему через веб - никаких аутентификаций-активаций не потребуется с другого айпи:

Кого интересовал вариант для таргет атаки - вот оно Надо тестировать конечно, но насколько я сейчас вижу - токен можно попробовать дернуть с клика по ссылке.

Мне никаких уведомлений о новой сессии не приходило - значит можно сидеть с жертвой одновременно и читать чаты.

 

[bigheadguy]

без активации через код

а второй код стоял на ТГ? для входа с нового устройства

 

[bratva]

а второй код стоял на ТГ? для входа с нового устройства

Объясни тогда - как его поставить Имеется - ТОЛЬКО десктоп-клиент, там такой настройки не вижу.

На другой виртуалке, тоже Линукс, но с другим аккаунтом и через Хром - сразу просит QR-активацию. Все настройки идентичны.

В комментариях у Андрея Захарова - люди экспериментирует и очевидно, что баг нестабилен. Т.е. авто-логин срабатывает не всегда, но часто.

Меня больше напрягло отсутствие уведомления о новом устройстве, которое всегда появляется во всех остальных случаях

 

[sed]

Я так понимаю, что если аккаунт закрыт паролем, то будет не увести?

 

[bratva]

Судя по всему (пока все только на словах) - токен сессии и был дернут с нажатия на ссылку:

Будьте бдительны и осторожны!

 

[whbear]

.

 

[bratva]

Я так понимаю, что если аккаунт закрыт паролем, то будет не увести?

Специально перепроверил все минуту назад: переустановил снова 2FA (там, где пароль с нового устройства): с первого раза не сработало - выдало просто QR-код, второй раз - зашло с открытием всех чатов и БЕЗ уведомления (пароль вводить на чаты тоже никто не просил).

 

[bigheadguy]

Объясни тогда - как его поставить

настройки/конфиденциальность/облачный пароль

ТОЛЬКО десктоп-клиент

у меня тоже десктоп

 

[bratva]

настройки/конфиденциальность/облачный пароль
Посмотреть вложение 83376

у меня тоже десктоп

Прочитай выше пост - я попробовал, без проблем вошел (но не с первого раза) через веб

Товарищ попробовал тоже минуту назад - у него тоже 2ФА не сработало, но (почему-то) пришло уведомление о логине с нового девайса

 

[bigheadguy]

Прочитай выше пост

сначала ответил, потом читал)
интересный баг)

 

[marmalade]

А в чем фича если auth_token просран? Никто же не удивляется когда куки с логов пускают в аккаунт.

 

[bratva]

А в чем фича если auth_token просран? Никто же не удивляется когда куки с логов пускают в аккаунт.

Фича в том, что это ебанное говнорукое поделье пользуется, к сожалению, большим спросом, и в связи с этим не прекращаем надеяться, что может быть разработчики будут парится большое о безопасности, а не о новом стикер-паке.

Но в целом - метода, чтобы обойти двухфакторку, не было довольно долгое время, тем более такого эффективного (даже учитывая ограниченное применение). Прошлый фишинг, что я видел, требовал определенной легенды, как минимум двух действий и при внимательности жертвы был не осуществим. Почти во всех случаях - ДО - нужно было пиздить TDATA и даже при ее наличии все было не так просто (почитай о проблемах с купленными аккаунтами).

 

[kosok11]

TDATA и даже при ее наличии все было не так просто

С tdata "фикс" уже введен достаточно давно, около года. Работает он по такому принципу: сравнивается количество активных сессий десткоп+смарт и количество входов с использованием кода. Если количество одновременных активных сессий > количества логинов по коду - завершаются все сессии.
Если владелец tdata сидит со смарта и десктопа, после этого закрывает десктоп приложение (просто закрывает, не завершает сессию) и после этого ты запускаешь у себя краденный tdata: тогда колчество сессий по коду = 2, количество активных сессий = 2 и ты спокойненько себе сидишь в чужой телеге. Еще примечательный момент, десктоп версия телеги через какое-то время инактива юзера уходит в "фоновый режим" (при этом уведомления в углу приходят и чаты обновляются) и тогда, даже при запущенном приложении сессия не учитывается (свернутое в фон приложение на смартах не проверял).
В случае с работой с tdata с логов - проблема.

В случае если выкидывает из покупных акков - значит акки в несколько рук или кто-то пытается почитать чужие переписки.

 

[marmalade]

kosok11 вцелом - да, но если подумать как определяется 2 "активные сесии" в одном auth_token, то этот "фикс" можно байпаснуть. Но тред не об этом. Не понятно, что конкретно должно быть фиксом на "баг" , который описал bratva , если речь о том что auth_token спиздили.

 

[sed]

с первого раза не сработало

вот это ключевое

 

[kosok11]

kosok11 вцелом - да, но если подумать как определяется 2 "активные сесии" в одном auth_token, то этот "фикс" можно байпаснуть. Но тред не об этом. Не понятно, что конкретно должно быть фиксом на "баг" , который описал bratva , если речь о том что auth_token спиздили.

Да я в целом чуть отошел от сабжа ) С веб версией никогда не игрался, судя по данному топику - зря, так что нечего путного сказать по сабжу не могу

 

[bratva]

вот это ключевое

Здесь нет ничего ключевого, все очень нестабильно - начиная от авто-логина на разных браузерах до уведомления о входе на новом девайсе. Что говорит о том, что проблема реально есть и возможно она глубже, чем кажется.

 

[kosok11]

все очень нестабильно

залетный джун походу писал web-auth, не справился с трай-кетчами

 

[Marti71]

Здесь нет ничего ключевого, все очень нестабильно - начиная от авто-логина на разных браузерах до уведомления о входе на новом девайсе. Что говорит о том, что проблема реально есть и возможно она глубже, чем кажется.

Разлогинился на телефоне со второго тг, попробовал заново войти и вошло без всяких уведомляшек, даже 2-фа и кодов не просила