Dugaan kerentanan Telegram memperlihatkan nomor telepon

Pembawa pesan instan zaman modern memainkan peran penting dalam masyarakat. Berkat pertumbuhan media sosial yang luar biasa dan meningkatnya masalah privasi, semakin banyak platform semacam itu yang bergerak menuju enkripsi ujung ke ujung, mendorong dukungan untuk anonimitas dan mendukung kebebasan berbicara.

Dugaan kerentanan Telegram memperlihatkan nomor telepon

Telegram: Salah satu IM paling populer

Pengusaha Rusia Durov bersaudara mendirikan Telegram, yang sekarang menjadi nama rumah tangga di kalangan aktivis hak asasi manusia di seluruh dunia. Tentu saja Anda dapat mengatur saluran gulma Anda sendiri dengan memanfaatkan fitur privasi yang luas, tetapi mari kita kesampingkan itu untuk saat ini.

Telegram memerlukan nomor telepon pengguna untuk membuat dan (opsional) mengautentikasi akun mereka. Dimungkinkan untuk menyembunyikan nomor telepon dari info akun Anda, tetapi ada masalah!

T: Siapa yang dapat melihat nomor telepon saya?

Di Telegram, Anda dapat mengirim pesan dalam obrolan dan grup pribadi tanpa membuat nomor telepon Anda terlihat. Secara default, nomor Anda hanya dapat dilihat oleh orang yang telah Anda tambahkan ke buku alamat Anda sebagai kontak. Anda dapat memodifikasi ini lebih lanjut di Pengaturan > Privasi dan Keamanan > Nomor Telepon.

Perhatikan bahwa orang akan selalu melihat nomor Anda jika mereka sudah mengetahuinya dan menyimpannya di buku alamat mereka.

Dugaan kerentanan Telegram memperlihatkan nomor telepon

Rupanya desain ini dapat digunakan untuk menghindari dinding privasi pemilik Telegram, terutama dalam skenario sensitif. Seorang pengguna nakal dapat menambahkan banyak nomor urut di buku telepon. Setelah itu mereka dapat menghubungkannya dengan saluran publik dan menyinkronkan info kontak.

Kira Anda sudah bisa berspekulasi hasilnya. Telegram akan memberi penyerang semua detail kontak dari entitas yang nomornya ada dalam daftar itu setelah sinkronisasi. Jika yang nakal adalah lembaga penegak hukum, menemukan orang di balik nomor itu adalah permainan anak-anak.

Cacat desain di Telegram dapat dimanfaatkan untuk mengekspos informasi identitas pribadi melalui nomor telepon. Bug ini ditemukan oleh pengunjuk rasa Hong Kong.

Mimpi buruk terburuk! (Sumber)

Pengunjuk rasa anti-RUU ekstradisi Hong Kong sebagian besar bergantung pada Telegram karena kelebihannya seperti skala besar Supergrup dan faktor privasi. Bug ini pertama kali ditemukan di LIHKG, tujuan forum online populer bagi warga Hong Kong.

Telegram Dugaan kerentanan Telegram memperlihatkan nomor telepon

Peneliti keamanan independen juga mengkonfirmasi vektor serangan, dan tidak ada cara mudah untuk menambalnya tanpa memerlukan logika latar belakang IM itu sendiri. Dalam kasus pemrotes Hong Kong, mereka disarankan untuk menggunakan SIM burner karena berpindah ke platform lain tidak memungkinkan.

1. Alice, pengguna Telegram, berada di grup publik bernama CommonsGroup

2. Alice tidak ingin ada orang yang melihat nomor teleponnya di Telegram. Jadi, dia menyembunyikan nomor teleponnya di pengaturan privasi Telegram. (Privasi > Nomor Telepon > Tidak Ada)

3. Mallory, sang penyerang, ingin mengungkap identitas asli para anggota di CommonsGroup.

4. Mallory menambahkan sejumlah besar nomor telepon secara berurutan ke buku alamat di teleponnya, dengan asumsi nomor telepon Alice ada dalam daftar. (kami telah menguji penambahan 10.000 nomor telepon)

5. Mallory menyinkronkan kontaknya dengan Telegram

6. Mallory bergabung dengan CommonsGroup (yang bersifat publik)

Hasil yang diharapkan

Nomor telepon Alice tidak akan pernah ditampilkan di info grup Telegram karena dia telah mengatur privasi nomor telepon ke Tidak Ada.

Hasil Sebenarnya

Mallory dapat melihat nomor telepon Alice di info Grup. Secara teori, jika Mallory menambahkan nomor telepon yang cukup, dia dapat menemukan nomor telepon anggota mana pun di grup publik. Ini adalah ancaman nyata bagi kami karena ruang untuk nomor telepon di Hong Kong terbatas

Saat ini, Telegram tidak ingin menyebut situasi tersebut sebagai 'bug' karena FAQ resmi mereka menjelaskan batasan fungsi penyembunyian nomor telepon.

Dugaan kerentanan Telegram memperlihatkan nomor telepon

Beberapa bulan yang lalu, Telegram menderita serangan DDoS yang disponsori negara. Diduga ada korelasi kuat antara serangan itu dan protes Hong Kong. Situasi kali ini jauh lebih kacau, karena nyawa para pengunjuk rasa bisa terancam.

Facebook Twitter Google Plus Pinterest