Дуров ответил отказом на требование передать ФСБ ключи для расшифровки переписок Статьи редакции
20 марта 2018 года Роскомнадзор отправил официальное предупреждение Telegram, в котором потребовал выполнить обязанности организатора распространения информации и передать ФСБ ключи для дешифровки переписок пользователей. Если мессенджер не подчинится за 15 дней, Роскомнадзор потребует от суда заблокировать Telegram в России.
0
показов
18K
открытий
"Telegram will stand for freedom and privacy."
1) End-to-end выключено по умолчанию. Это значит, что обычные пользователи не будут заморачиваться, а "те, кому есть, что скрывать" привлекут к себе внимание. В Watsapp оно наоборот включено, но это фейсбук (нет, спасибо).
2) Регистрация и авторизация по номеру телефона, привязка к мобильным устройствам. Смартфоны, особенно на андроиде небезопасны, плюс к этому возможность силовых структур давить на опсосов, использовать фальшивые соты и даже прямо вскрывать шифрование GSM двадцатилетней давности.
3) Централизованность. Например, XMPP децентрализованный. XMPP + Tor + Off-the-Record дают достойный уровень приватности. Но Дуров как мы видим не сделал красивую обертку для этого.
Увидев слово "андройд" и "небезопасный" автоматически возник вопрос: "а что там на ios?".
Но мне кажется, что это сравнение неактуально и надо признать, что все системы могут быть уязвимыми и не нужно как то выделять Android. В последних версиях заострили внимание на безопасности.
Облачное хранилище сообщений служит для удобства. Получить все медиа сразу после авторизации удобнее, чем восстановление незашифрованного бекапа.
Авторизация через мобильный телефон реальная уязвимость. Это жирный минус.
А XMPP банально не так удобен. Люди не шли и развитие по сути остановилось. Но ещё парочку таких вбросов со стороны нашего правительства и время его настанет.
А, ну да, ну да. Заострили. Возможность все равно какие приложения запускать, надо думать, пропала и Play market наконец стал реагировать на явно вредоносные приложения?
Не стоит путать ограничения с безопасностью. Пользователь осознано устанавливает приложение на смартфон и отвечает за свои действия.
Вирусы в Play Market актуальная проблема, хотя я ни разу не ловил вирус из магазина. Тем не менее, большинство из них использует эксплоиты, которые закрыты в новых версиях android.
Честно, не хочу даже заново все это обсуждать. После массовых взломов Android версий банк-клиентов (одно сообщение в прессе за другим), вопрос для меня закрыт раз и навсегда.
Android версии приложений служат часто для взлома этих приложений с помощью распаковки, внесения изменений в конфиг файлы, сниффинга того что приложение куда отправляет, обратной _запаковки_ и дальнейшей работы с модифицированным приложением.
Количество описаний этого процесса, в частности на Хабре, перешло все разумные пределы. Это помимо того, что ломают и просто дистрибутивы Android приложений (выложенные на сайте разработчиков), и базы данных пользователй этих приложений (на сайтах разработчиков), и так далее.
Android - для экспериментов :(
Объясните, чем вам поможет сниффинг того, что и куда отправляется (куда - можно и путём обычной декомпиляции узнать, не так сложно делается), если всё общение с сервером идёт по SSL, и данные зашифрованы?
Так известные взломы выявляли "экономию" программеров буквально на спичках, и хранение и/или передачу _части_ данных в открытом виде. А "нюхали" элементы авторизации, насколько я помню.
Это печально, конечно. А вообще я кажется примерно понял логику. Только не очень всё же понятно, как злоумышленник потом сможет использовать модифицированную версию. Если представить, что сервер-сайд безупречен, разве мы сможем снять у кого-то деньги, даже сделав модифицированный клиент (работающий например с нашим собственным сервером)?
Видите ли, на конференциях по комп. безопасности размер украденных из банк-клиентов частных лиц сумму оценивают в миллиардах рублей в год - цифры для России и ее обитателей.
...
И ничего особенно не меняется - эти миллиарды крадут ежегодно, ужет лет 5 как минимум. Ну вот Сбер отчаялся и встроил антивирус прямо в банк-клиент, что мало поможет, если задействован свежий exploit, _перехватывающий и перенаправляющий SMS с авторизацией_ куда захочется.
Почему у меня тогда ни разу не украли ни рубля? Я ведь пользовался банк-клиентом, и у меня Андроид. Потому что у меня мало денег на карточке, и я не являюсь ЦА?
Ну окей, у моей мамы денег на карточке больше, т.к. карта зарплатная. У неё тоже Сбер, карта появилась правда уже после внедрения антивируса в клиент, деньги ни разу не пропадали.
и у меня Андроид
1. Заражение возможно через браузинг, при условии отсутствия актуального антивируса.
карта появилась правда уже после2. Заражение возможно через "обманки" на сайтах, вполне себе действующие для многих "обнови банк-клиент здесь" "нажми здесь чтобы получить 1000 рублей на свой счет в Сбербанке" - и много других подобных.
3. Несмотря на тупость подходов, они ежегодно дают миллиарды убытков.
внедрения антивируса в клиент
Угу, а тут прозвонка мошенников возможна - разного рода - не даром у Сбербанка.Онлайн постоянной "новостью" висит - "Если Вас просят отменить операцию, сообщив код ... не делайте этого" ... видимо давление на аудиторию усиливается и каким-то образом мошенники имеют доступ к актуальным данным ... да в принципе звони _любому_ пенсионеру по телефонной базе - и у него будет карточка Сбера и Сбербанк.онлайн (их навязывают вместо привычных сберкнижек вот уже 5 .. 7 лет безостановочно)
2. Заражение возможно через "обманки" на сайтах, вполне себе действующие для многих "обнови банк-клиент здесь" "нажми здесь чтобы получить 1000 рублей на свой счет в Сбербанке" - и много других подобных.
Ну, уж на такую ерунду я никогда не вёлся. Если кто-то кликает на такие ссылки и скачивает приложения-вирусы - их и антивирус не всегда спасёт... Даже тот, который нормальный, и всегда висит в фоне (Сберовский вроде не висит, хотя может я чего-то не знаю).
Александр,
1. Кликать на ссылки, скачивать "левый" банк клиент, вводить актуальный логин/пароль от Сбера непонятно куда - здесь и правда нужно _действие_, например не очень квалифицированного пользователя. Или вполне норм., по получившего ссылку "от знакомых" (на самом деле не от них).
2. Однако, на Android заражение возможно просто по факту _посещения_ неких сайтов, которые сами по себе могут быть чистыми, но крутить в партнерке некие объявления - в которые и подсаживают js код, в свою очередь запускающий сборщик вводимой информации в скрытом окне.
3. Собственно именно этот статус Android - в котором заражение возможно "бесконтактно" - и мешает, мне например, купить телефон с Android.
4. Если ходить по image search в Yandex (страны мира, достопримечательности,) - то Eset Nod 32 в среднем ругается на каждую 20-ю ... 30-ю картинку - сигнализируя о попытке сайта с картинкой что-то там еще вместе с ней подсунуть. Обычно с hires картинками так, кстати. Это для понимания масштаба проникновения зловредов в js коде
"в которые и подсаживают js код, в свою очередь запускающий сборщик вводимой информации в скрытом окне" - вот здесь поподробнее. Мы ведь про браузер? Я что-то сильно сомневаюсь, что подсунутый в рекламное объявление JS-код сможет считать ввод в другое приложение - тем более учитывая, что приложения в Android запускаются в песочницах.