看到论坛里有人提到电报并不安全,想了解下除了数据储存在电报官方服务器上还有其他不安全的地方吗?
1 个赞
当然有啊,虽然它声称自己能端到端加密,可它的加密协议是几个秘密学爱好者想出来的,并没有经过多少攻击测试,目前电报已经被世界各国政府渗透得差不多了。
- 默认不启用端到端加密, 端到端加密不支持群聊,任何取得tg服务器权限的人都可以查看非端到端加密对话
- 使用自制和未经验证得mtp协议,mtp1.0被发现多个安全漏洞。https:// eprint.iacr. org/2015/1177.pdf
- 声称mtp2.0修复了1.0的漏洞,但mtp2.0并未经审核
- 使用AES-IGE这种奇怪的加密方式,并且声称他们的实现 “安全” “高性能” https://core.telegram.org/techfaq#q-do-you-use-ige-ige-is-broken
- 开了一个奖金200000美元的密码比赛,以没有人成功破解来证明mtp协议“很安全”。但实际上他们设立的比赛框架很有问题,再烂的的协议在这个框 架中都没法被破解 https://archive.vn/SIl9M
- 服务端不开源
- tg的协议被很多密码学家批评过
- 不好好处理元数据,以明文方式将电话号码和联系人姓名永久保存在服务器上.ip,设备,应用程序版本与用户名最多可以在服务器上保存12个月
- 需要用电话号码来注册,虽然进行了速率限制但仍然可以滥用联系人发现来爬取用户
- 本地数据库未加密
- tg上网警极多,主要监视群组消息并用私聊钓鱼,如没有做好身份隔离有可能被抓
- 理论上来说,任何用中国手机号注册的tg号都不匿名.通过拦截注册短信要注册的电话号码,趁刚注册时联系人发现默认打开并滥用联系人发现来建立id与电话号码对应数据库
- 消息自毁功能只是个装饰品,完全可以构建一个能忽略删除请求的客户端
@Sis6P 来源?
你说的网警极多不就是表现之一吗?另外,其实默认不端到端加密反而不是问题,pidgin xabber 等主流的 xmpp 客户端也不提供默认的端到端加密,提供默认端到端加密的 c11s 系反而是表现糟糕的 xmpp 客户端。
抛开那些密码学上的细枝末节,用工农的话来说就是,tg可以作为过渡使用通讯工具。虽然它的通信协议有很多漏洞但目前还没有它被破解的证据 。不过想要使用tg,则必须遵守以下规则:
- 用虚拟号注册
- 注册后立刻关闭“谁能通过电话号码发现我”等选项,拒绝给予tg通讯录权限,删除已同步的联系人
- 开启两步验证,不开启两部验证则任何能监视你短信的人都可以登录你的帐号
- 使用与你其他帐号不相同的用户名,个人简介与头像
- 做好身份隔离,谨慎对待私聊,所有聊天内容都不要包含个人信息,网警24小时监视。目前几乎所有tg上被抓的都是因为没有做好身份隔离
- 只建议加入频道,tg所谓“左群”基本只有闲聊娱乐
- 顺便,即使没有tg号,也可以使用 t.me/s/@xxx 来查看公开频道的消息(但不能进行下载文件等操作)
还是建议转移到xmpp上