TL; DR: Can 1) ¿Un hacker al azar accede a mi cuenta de telegrama ingresando mi número de teléfono en el portal de autenticación oficial de web.telegram.org y hackeando el código SMS que envían? o
2) ¿Un "ingeniero de telegramas" accede a mi cuenta de telegramas cambiando un poco el sistema para que el código SMS no se envíe a través de la red GSM sino a su dispositivo?
Pregunta completa: Hola, me preocupa una parte muy específica del protocolo de seguridad de telegramas. He leído muchas críticas sobre el protocolo en sí, pero todavía no tengo respuesta a mi pregunta. También sé sobre los concursos de seguridad de telegramas, pero sé que son una tontería porque solo informarán a Telegram de forma segura contra los ataques de KPA. Además, no pregunto sobre los chats secretos, sé que están cifrados de extremo a extremo.
Estoy preguntando sobre el contenido de los chats basados en la nube, que se mantiene en los servidores de telegramas. El único artículo que he encontrado sobre el tema es éste . Establece:
Dado que sin E2EE Cloud Chat es teóricamente accesible, usamos una infraestructura distribuida única para protegerla. Los datos de Cloud Chat se almacenan en varios centros de datos en todo el mundo que están controlados por diferentes entidades legales distribuidas en diferentes jurisdicciones. Las claves de descifrado relevantes se dividen en partes y nunca se guardan en el mismo lugar que los datos que protegen. Como resultado, los intrusos o ingenieros locales no pueden acceder a estos datos, y se requieren varias órdenes judiciales de diferentes jurisdicciones para obligarnos a renunciar a cualquiera de ellos.
Gracias a esta estructura, podemos garantizar que ningún gobierno o bloque de países de ideas afines puedan inmiscuirse en la privacidad y la libertad de expresión de las personas. Telegram puede ser obligado a entregar datos solo si un problema es lo suficientemente grave y universal como para pasar el escrutinio de varios sistemas legales diferentes en todo el mundo.
Como resultado, hasta el día de hoy hemos revelado 0 bytes de datos de usuarios a terceros, incluidos los gobiernos.
Supongo que cuando quiero acceder a mi cuenta de telegrama desde un nuevo dispositivo y se envía un token de autenticación a mi otro dispositivo de telegrama, este modo de autenticación es seguro, no solo en el sentido de que los piratas informáticos no pueden verlo. De hecho, puedo imaginar fácilmente un escenario en el que el servidor de telegramas genera un token que se envía a mi dispositivo, y la aplicación de telegramas en mi dispositivo calcula el código de 6 dígitos usando tanto el token como mi clave muy privada. De esta manera, una empleada de telegramas no puede acceder a mi cuenta incluso si conoce el token generado en el servidor. (Espero haberlo dejado claro en este punto, no estoy tan seguro :))
Pero, continuando la cita del artículo vinculado:
Si le preocupa la seguridad en general, puede tomar otras precauciones importantes. Considere proteger su cuenta al habilitar la verificación de 2 pasos y configurar un código de acceso seguro para bloquear su aplicación, entonces no será posible acceder a sus chats robando su dispositivo o incluso interceptando su código SMS. Encontrarás ambas opciones en ‘Configuración’ en ‘Privacidad y seguridad", pregúntame si deseas más detalles.
¿Eso significa que si alguien pone mi número en web.telegram.org y luego intercepta el código SMS, puede usarlo para iniciar sesión en mi cuenta, fingiendo que soy yo?
Sé que el token de SMS solo funciona con las claves generadas por el dispositivo al que intento acceder, pero otro posible escenario de ataque puede ser el siguiente: un "ingeniero de telegramas" (no estoy seguro de cómo funcionan los empleados de telegramas). están organizados o estructurados) modifica la infraestructura un poco, de modo que cuando se requiere un inicio de sesión, el token no se me envía por SMS, sino que se guarda en algún lugar o tal que se envía a su dispositivo. Luego, puede ingresar mi número de teléfono en el portal web oficial de web.telegram.org e iniciar sesión como yo.
Tenga en cuenta que en estos ataques no es necesario interrumpir ninguna jurisdicción ni acceder a ninguna base de datos cifrada, solo para utilizar el portal de inicio de sesión web oficial existente.
Por favor, no responda con fallas estándar de inseguridad de telegramas, ni con una respuesta RTFM a menos que sea una parte muy específica de la documentación que, me disculpo, no pude encontrarla.
Gracias de antemano.