Дуров ответил отказом на требование передать ФСБ ключи для расшифровки переписок Статьи редакции
Threats to block Telegram unless it gives up private data of its users won't bear fruit. Telegram will stand for freedom and privacy.
20 марта 2018 года Роскомнадзор отправил официальное предупреждение Telegram, в котором потребовал выполнить обязанности организатора распространения информации и передать ФСБ ключи для дешифровки переписок пользователей. Если мессенджер не подчинится за 15 дней, Роскомнадзор потребует от суда заблокировать Telegram в России.
0
показов
18K
открытий
"Telegram will stand for freedom and privacy."
1) End-to-end выключено по умолчанию. Это значит, что обычные пользователи не будут заморачиваться, а "те, кому есть, что скрывать" привлекут к себе внимание. В Watsapp оно наоборот включено, но это фейсбук (нет, спасибо).
2) Регистрация и авторизация по номеру телефона, привязка к мобильным устройствам. Смартфоны, особенно на андроиде небезопасны, плюс к этому возможность силовых структур давить на опсосов, использовать фальшивые соты и даже прямо вскрывать шифрование GSM двадцатилетней давности.
3) Централизованность. Например, XMPP децентрализованный. XMPP + Tor + Off-the-Record дают достойный уровень приватности. Но Дуров как мы видим не сделал красивую обертку для этого.
Увидев слово "андройд" и "небезопасный" автоматически возник вопрос: "а что там на ios?".
Но мне кажется, что это сравнение неактуально и надо признать, что все системы могут быть уязвимыми и не нужно как то выделять Android. В последних версиях заострили внимание на безопасности.
Облачное хранилище сообщений служит для удобства. Получить все медиа сразу после авторизации удобнее, чем восстановление незашифрованного бекапа.
Авторизация через мобильный телефон реальная уязвимость. Это жирный минус.
А XMPP банально не так удобен. Люди не шли и развитие по сути остановилось. Но ещё парочку таких вбросов со стороны нашего правительства и время его настанет.
А, ну да, ну да. Заострили. Возможность все равно какие приложения запускать, надо думать, пропала и Play market наконец стал реагировать на явно вредоносные приложения?
Не стоит путать ограничения с безопасностью. Пользователь осознано устанавливает приложение на смартфон и отвечает за свои действия.
Вирусы в Play Market актуальная проблема, хотя я ни разу не ловил вирус из магазина. Тем не менее, большинство из них использует эксплоиты, которые закрыты в новых версиях android.
Честно, не хочу даже заново все это обсуждать. После массовых взломов Android версий банк-клиентов (одно сообщение в прессе за другим), вопрос для меня закрыт раз и навсегда.
Android версии приложений служат часто для взлома этих приложений с помощью распаковки, внесения изменений в конфиг файлы, сниффинга того что приложение куда отправляет, обратной _запаковки_ и дальнейшей работы с модифицированным приложением.
Количество описаний этого процесса, в частности на Хабре, перешло все разумные пределы. Это помимо того, что ломают и просто дистрибутивы Android приложений (выложенные на сайте разработчиков), и базы данных пользователй этих приложений (на сайтах разработчиков), и так далее.
Android - для экспериментов :(
Объясните, чем вам поможет сниффинг того, что и куда отправляется (куда - можно и путём обычной декомпиляции узнать, не так сложно делается), если всё общение с сервером идёт по SSL, и данные зашифрованы?
Так известные взломы выявляли "экономию" программеров буквально на спичках, и хранение и/или передачу _части_ данных в открытом виде. А "нюхали" элементы авторизации, насколько я помню.
Это печально, конечно. А вообще я кажется примерно понял логику. Только не очень всё же понятно, как злоумышленник потом сможет использовать модифицированную версию. Если представить, что сервер-сайд безупречен, разве мы сможем снять у кого-то деньги, даже сделав модифицированный клиент (работающий например с нашим собственным сервером)?
Видите ли, на конференциях по комп. безопасности размер украденных из банк-клиентов частных лиц сумму оценивают в миллиардах рублей в год - цифры для России и ее обитателей.
...
И ничего особенно не меняется - эти миллиарды крадут ежегодно, ужет лет 5 как минимум. Ну вот Сбер отчаялся и встроил антивирус прямо в банк-клиент, что мало поможет, если задействован свежий exploit, _перехватывающий и перенаправляющий SMS с авторизацией_ куда захочется.
Вот никогда не понимал, зачем в банк-клиент встраивать антивирус. Какая-то глупость на грани маразма: возрастает размер пакета, требования к ресурсам (CPU и RAM), стоимость разработки... Имхо, антивирус должен идти как отдельный продукт. А эксплойты есть и под iOS, наверное :)
Я кстати не использую антивирус по причине слабого железа: у меня не флагман, и даже антивирусы тех лет, когда был выпущен мой телефон, после покупки несколько подтормаживали систему, и жрали основную память, которой и так очень мало.
Но если бы кто-то выпустил супер-лёгкий и супер-быстрый антивирус, многих это могло бы подтолкнуть начать его использовать.
У Сбера 30 млн. пользователей Сбербанк.Онлайн (по их данным). Первые сообщеняи об украденных _миллиардах_ рублей - тысячи рублей у пользователей, пошли, по-моему, еще в 2013 .. 2014 году, может и раньше.
У них не было другого выхода, кроме как обеспечить макс. уровень безопасности.
С 2017 года Сбер стал еще блокировать и операции и карты по все расширяющемуся списку критериев - вслед за все увеличивающимся количеством взломов (и пользователей)
Дошло до того, что они почти свели на нет удобство пользования сервисом - любая "нетипичная" операция может не пройти без звонка в Сбер, ожидания на линии, называния всех реквизитов операции и себя ... подтверждения операции "вручную" ... это уже не банк-клиент, это фигня какая-то.