xmpp морально устарел уже(я с этим не согласен, но складывается именно такое впечатление). По сравнению с современными технологиями, джаббер-подобные сервера совсем не юзерфрендли. А если ещё и совместо в пгп юзать, то для рядового юзверя это как страшный сон или, прости господи, notepad++
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Взлом телеграм
- Автор темы Dilock
- Дата начала
Matrix очень хорошая, современная альтернатива жабе
Не спорю. Но телеграм всем нравится больше
Поэтому кто не задается вопросами приватности успешно используют чужие сервисы вроде tg, whatsup, viber, signal и пр. Кто готов потратить время изучить новое, почему бы и не посвятить в pgp например, с учётом что оно необходимо в повседневной жизни. Можно ведь шифровать и в чужих сервисах, правда в правилах например tg, написано что нельзя использовать стороннее шифро, поэтому могут забанить без объяснения причины.
Не сталкивался с банами за использование сторонних алгоритмов шифрования. Но сталкивался с блокировкой аккаунта за попытку продажи ковидных сертификатов. Причём скам проекты в этой сфере не трогают
Касательно tg, актуальность 2016. Сейчас нигде не нашел таких упоминаний. Была статья на хабре, 2 аккаунта человеку заблочили. Уже не важно. Лично я не доверяю черному ящику.
Тут от обертки зависит, потому что тот же whatsapp юзает xmpp.
Да много где этот протокол используется. Я же имел в виду конкретно джаббер
Вспомнил где еще упоминалось.
_https://core.telegram.org/api/terms
Пункт 1.3. As a client developer, you must make sure that all the basic features of the main Telegram apps function correctly and in an expected way both in your app and when users of your app communicate with other Telegram users. It is forbidden to force users of other Telegram clients to download your app in order to view certain messages and content sent using your app.
А вручную кидаться не удобно, по-любому скрипт писать и использовать api tg. Конечно можно и Nekogram использовать со встроенной поддержкой pgp, раньше таких решений не было.
P.S помню oversec (java) решал проблему (_https://github.com/oversecio/oversec)
Что это ты несешь. Свою сессию созданную на одной системе храню в облаке (папку tdata) , двухфакторка НЕ запрашивается, только пароль созданный для десктопа при открытии. Хоть через win, хоть в lin открывается. Сессия только одна, показывает моё устройство только. Тот кто с этой сессии сидит, будет видеть своё устройство, а я своё.Люблю людей которые понятия не имеют что они пишут, лишь бы вставить свои 25 копеек )))
Если кто либо, с чего либо, сидит в твоём ТГ - ЭТО ВИДНО. Так как шансов что на устройстве с которого парень сидит - ОДИН НА МИЛЛИАРД либо совпадение вообще нереально.
Доказано на ПРАКТИКЕ, а не словами и догадками
Уже в который раз повторяюсь, если файлы с папки ТГ с ПК были скомпроментированы(СТИЛЛЕР) и в аккаунте стоит облачный пароль(2 ФА) то попасть в ТГ он сможет только если у него ХВНЦ или подобный доступ к этому ПК для отката 2 ФА.
Никакие ТДФ файлы, никакие ТХТ файлы, никакие .ехе файлы - не пропустят атакующего без 2 ФА. Даже если будет известен пароль от 2 ФА. Если говорить о стиллере - при 2 ФА по файлам ты НИКОГДА не зайдешь
UPD: P.S. БЕЖАТЬ С ТГ НУЖНО БЫЛО ЕЩЕ 2-3 ГОДА НАЗАД, НО У ВАС ЕСТЬ ЕЩЕ ШАНСЫ !!)
ТС, тебе надо зайти с нового устройства не скомпроментированного, сменить пароль двухфакторки и убить лишние сессии через сутки (требования безопасности). В этот период если тебя выкинут из сессии, значит реально кто то торчит у тебя. Тогда меняй аккаунт.
Последнее редактирование:
В Nekogram НЕ встроен PGP, он требует OpenkeyChain. С таким же успехом можно использовать обычную ТГ с OpenkeyChain. Насчёт oversec, он отключает шифрование андроид системы, очень глупое решение безопасности.
Я несу радость, а Вы ?
1. Объясню по полочкам(без 2 ФА). Есть 2 ПК(не важно, лин\вин) и телефон. 1 ПК и телефон - жертвы. 2й ПК - мой. На ПК и телефоне жертвы открыты 2 сессии(В НАСТРОЙКАХ КОНФ ЭТО ВИДНО - 1 ПК и ТЕЛЕФОН). Если он сидит с ПК, то будет показывать что с телефона вход был столько - то минут назад и наоборот. Слямзив файлы ТГ - я качаю портабл(ТГ) на свой ПК(не берём во внимание безопасность, иначе долго расписывать), заменяю файлы - вход. В настройках конф мы видим 1 АКТИВНУЮ\ОНЛАЙН сессию(МОЮ), ниже мы видим с какого устройства сидела жертва - 1 ПК(столько - то минут назад) и ТЕЛЕФОН(столько - то минут назад). Если жертва почувствовала неладное и зашла в настройки конф - и УВИДИТ незнакомое устройство(столько - то минут назад) она просто напросто закроет с ним сессию.
\кому интересно\ - Ставим облачный пароль(если его нет), закрываем все сессии кроме своей. Вуаля - вы угнали ТГ у другого пользователя.
P.S. Если только аттакер не использует РДП или ХВНЦ сидя в этот момент с ЕГО же ТГ и с ЕГО же сессии. На это и похожа ситуация у ТСа.
2. Если же у жертвы стоит MFA, то при замене файлов - НИЧЕГО НЕ ПРОИЗОЙДЁТ. И вписывать пароли и прочее будет некуда.
Это при условии, что жертва сразу сидит с двух устройств, что врядли. Если только с ПК, ничего не заметит. Даже если с двух, будет работать эффект, что видно две сессии, которые дадут успокаивающий эффект, ведь он в двух сессиях сидит сам. Так же ПК систем не так много, если зайду с такого же устройства и приблизительного ip его местоположения, жертва не узнает, только по времени заподозрит. Двухфакторку у меня никогда не запрашивает, хотя стоит. Лучший способ сидеть с телефона без рута. Такую сессию угнать не получится.
Последнее редактирование:
Не надо цепляться к словам, уважаемый. Поддержка pgp есть (посредством вызовов api OpenkeyChain, все верно). Может мы говорим о совсем разных вещах? Как он может отключать штатное крипто андро, если он работает overlay? Причем тут вообще штатное крипто самого / ?
Oversec необходим доступ в Специальные возможности, через которые он просто отключает шифрование андроид. Он ломает защиту андроид, расшифровывает переписки, читает и может через сторонние системные приложения получить доступ к интернет. Зачем это баговое приложение в эпоху End-to-End? Ты предложи ещё через голубей отправлять. Когда паранойя зашкаливает, происходят ошибки, необходимо умеренно подходить к безопасности, а не ломать её.
Что вы несете, прошу прощения. Что за набор слов, ломает, читает, расшифровывает, получает доступ (в действительности этот процесс видит все, но в чем проблема его контроллировать, тем более весь код открыт, модифицируйте под свои нужды, лицензия GPL-3.0. Прямо троянский конь ? Вы изучали устройство Android, процесс инициализации, до zygote/после, как происходит запуск виртуальной машины dalvik/art?
Я считаю лыжи не едут, но может вы объясните если не трудно, как он ломает защиту android, отключает штатное крипто тем более (а так можно было?) ? (подобные заявления я только встретил в клире на руторе (не обитель разрабов android) от одного юзера, безо всяких объяснений)
P.S даже команда F-droid подписала пакет, безо всяких anti-feature, для меня лично, их подпись имеет значение.
Я считаю весь страх от незнания методов и устройства работы (причем не важно в какой сфере).
Давно устанавливал себе, случайно заметив в разделе безопасности fdroid, андроид выводил предупреждение об отключении шифрования, чтобы затестить, дал доступ ему, а он отключил защиту андроид. Дай ему доступ к специальным возможностям и проверь шифрование андроид работает? Зачем мне читать код, оставим это кодерам, мне проще не пользоваться =) Открытый код даёт мнимую безопасность, открытый github кишит разного рода вредоносами скрытыми, которые годами, а то и десятилетиями не замечают.
Последнее редактирование:
Сначала посмотри как работает андроид, прежде чем писать, что все приложения и так читают все данные. Это не так, каждое приложение разделено и может встречаться редко в каких то общих доступах. На последних версиях так вообще мало информации имеют приложения, imei, imsi, mac, каждое приложение видит разные идентификаторы.