Visibilidad del telegrama en el chat secreto VS texto simple

Navega tus respuestas
3

Background

Telegram Messenger ofrece un canal cifrado de "extremo a extremo", con su MTProto elaborado en casa, llamado chat secreto.

Tienen "Vistas previas de enlaces" de forma predeterminada en todos los modos, pero Chats secretos, en los que los servidores pueden generar una vista previa y un resumen al rastrear el enlace, para mostrar esa información al usuario final.

Problema

Recientemente, agregaron una nueva opción en la configuración para habilitar una "función" llamada "Vistas previas de enlaces" en la que también se rastrean todos los enlaces en Chats secretos y se muestra la información. Produjeron un diálogo de una sola vez dentro de mis chats secretos, que me impidió tomar una captura de pantalla, diciendo si me gustaría habilitar eso o no.

Al ver que el cifrado de extremo a extremo ya no se aplicaría si pudieran ver mis enlaces de chat secreto para rastrearlos, les daré -por centésima vez- el beneficio de la duda y simplemente preguntaré cómo ¿Lo hacen ellos?

Extras

Una opción que me viene a la mente es rastrear los enlaces desde dentro del cliente de Telegram en el dispositivo del usuario en lugar de rastrearlos con sus servidores exclusivos, cuidado con usted.

Ese es el diseño menos espeluznante / defectuoso que se me ocurre, pero incluso eso significa que también son capaces de configurar simplemente a su cliente para que envíe el registro de chat secreto del cliente a cualquier persona que elijan; Si esta implementación de previsualizaciones de enlaces pasó desapercibida, entonces no veo por qué el registro de teclas sería diferente si los desarrolladores no estuvieran interesados en Telegram lo suficiente como para revisar los cambios de código en su cliente de código abierto.

    
pregunta Mars 13.06.2016 - 18:51
fuente

1 respuesta

2

¿Cómo lo hacen?

Desde aquí ( enlace ) está claro que los enlaces se envían al servidor para su análisis.

Por lo tanto, probablemente analicen localmente su texto secreto en el lado del cliente para encontrar enlaces (no es tan difícil aislar los enlaces del resto del texto) y enviarlos solo al servidor, como se hace en cualquier otro (no secreto) charla.

Por lo que puedo entender de sus documentos, lo hacen en el lado de los remitentes. Después de pulsar enviar, se encripta al otro lado. Por lo tanto, el lado del servidor no estará seguro de si envió ese enlace a alguien, si fue en una conversación secreta o no secreta o simplemente buscó la vista previa y canceló el envío del mensaje.

  

pero incluso eso significa que también pueden configurar simplemente a su cliente para   envíe el registro de chat secreto del cliente a cualquier persona que elijan;

Tienes razón, nada les impide hacer esto si no confías en que el cliente no tenga una puerta trasera para eso. Pero eso no está relacionado con las vistas previas de enlaces. Incluso sin nada como esto, el simple hecho de que necesitan analizar los mensajes no cifrados para mostrarlo a usted ya es un punto en el que podrían capturar y enviar cualquier cosa a un tercero. El cifrado de extremo a extremo es solo hasta que deja un teléfono y llega al otro. No antes y después de eso. Escribe datos sin cifrar y lee datos sin cifrar.

Lo que esto podría agregar es un posible punto de falla, por ejemplo, un enlace especialmente diseñado podría explotar un error y filtrar más que la URL. Pero si está bien implementado, simplemente filtra la URL, que debe permitir que lo haga por el uso de este recurso.

En mi humilde opinión, simplemente no deberían agregar esta funcionalidad a los chats secretos. No creo que la mayoría de los usuarios entiendan exactamente cuánto no es un secreto cuando lo usen.

    
respondido por el CristianTM 13.06.2016 - 19:48
fuente

Lea otras preguntas en las etiquetas

Inyección de SQL ciego mediante la ayuda práctica de OOB DNS Practical Sniffing ¿Cuál podría ser la razón para que un software antivirus importante no detecte una entrada de DNS maliciosa?