По мере распространения цифровых устройств, в особенности смартфонов, всё более подавляющее большинство людей
ведёт конфиденциальные беседы в приложениях-мессенджерах. Самыми популярными из них по количеству ежемесячных загрузок являются WhatsApp, Snapchat и Telegram. Повсеместная реклама и грамотная работа специалистов по продвижению продутов убедила всех нас поверить в абсолютную безопасность и неуязвисмость подобных приложений. Мы немного развеем эту убежденность. Во первых стоило бы начать с того, что все эти мессенджеры привязываются к номеру вашего телефона. На этом этапе мы косвенно раскрываем свою личность. Регистрационные данные нашей сим карты теперь связаны напрямую с аккаунтом нашего мессенджера. Но не это является основным недостатком подобной архитектуры. Всё дело в том, что мы допускаем вмешательство ещё одного дополнительного звена в уровень нашего доступа к приложению — а именно оператора сотовой связи. И если законы стран ЕС вводят жёсткие ограничения на доступ работников услуг сотовой связи к изменению данных своих клиентов, то в Росии дела обстоят иначе. Воспользовавшись услугами одного из многочисленных даркнет форумов, мы можем получить временный доступ к сим карте интересующего нас лица и восстановить доступ к мессенджеру. На этот счёт уже предусмотрена защита в вышеприведенных нами приложениях. Это установка 2fa авторизации. В Telegram, например, эта опция называется «облачный пароль» Мы уже упомянали об этом всём ранее в нашем блоге ( https://vitvurian-project.com/%d1%80%d0%b5%d0%ba%d0%be%d0%bc%d0%b5%d0%bd%d0%b4%d0%b0%d1%86%d0%b8%d0%b8-%d0%bf%d0%be-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d0%b5-%d0%b4%d0%be%d1%81%d1%82%d1%83%d0%bf%d0%b0-%d0%ba-%d0%bf%d0%b5%d1%80%d1%81/ ) Но сегодня коснёмся других аспектов. А именно уязвимостей на программном уровне.
CVE-2022–36934 ( https://nvd.nist.gov/vuln/detail/CVE-2022-36934 ) (критическая уязвимость в WhatsApp) — позволяла выполнить RCE через переполнение буфера во время видеозвонка; Атака RCE может включать в себя запуск вредоносного программного обеспечения, изменение или удаление файлов, доступ к конфиденциальным данным или получение полного контроля над зараженной системой.
CVE-2022–27492 ( https://nvd.nist.gov/vuln/detail/CVE-2022-27492 ) (уязвимость в WhatsApp) — позволяет выполнить RCE, отправив заранее созданный видеофайл.
Подобных атак можно избежать, произвев грамотную настройку мессенджера. Во первых нам стоило бы отключить автоматическую загрузку файлов. В Telegram это можно сделать, перейдя в настройки > данные и память > автозагрузка медиа. Отключив подобную функцию, избавимся от целого ряда 0-day уязвимостей.
Далее ниже мы приводим основные и очень важные настройки безопасности Telegram, применение которых, возможно, будет стоить вам не только денег но и карьеры.
Конфиденциальность > Номер телефона > Кто видит мой номер телефона > Никто;
Конфиденциальность > Номер телефона > Кто может найти меня по номеру > Контакты
Данные и память > Автозагрузка медиа > Выключить;
Конфиденциальность > Время захода > Никто;
Конфиденциальность > Фотографии профиля > Контакты;
Конфиденциальность > Звонки > Кто может мне звонить > Мои контакты (или Никто, если хотите);
Конфиденциальность > Звонки > Peer-to-Peer > Мои контакты (или Никто, если вы предпочитаете не сообщать свой IP-адрес собеседникам);
Когда вы начнете звонок, вы увидите четыре смайлика в правом верхнем углу — попросите человека, которому вы звоните, назвать их и сравнить со своими (они должны быть такими же, как ваши). Это защита от MitM (Подслушивающий человек посередине);
Конфиденциальность > Пересылка сообщений → Кто может ссылаться на мой аккаунт при пересылке сообщений > Мои контакты;
Никогда не добавляйте контакты в Telegram (если они есть — удалите их) и всегда используйте VPN ;
Конфиденциальность > Приглашения > Кто может добавлять меня в группы > Мои контакты;
Настройте 2FA (облачный пароль);
Отключите предпросмотр ссылок и изображений в секретных чатах (прокрутите вниз раздел Конфиденциальность);
Отключите автозапуск GIF-файлов в настройках энергосбережения;Никогда не активируйте (через /start ) какого-либо Telegram бота! Только публичные чат-боты считаются безопасными, ими можно управлять в публичном чате с помощью команд. Никогда не пишите боту в Telegram! (любая кнопка может содержать уязвимость SQLi);
Если вам нужно открыть PDF-файл, воспользуйтесь режимом предварительного просмотра Google Drive (попросите загрузить файл туда);
Всегда проверяйте активные сессии в разделе Устройства. Если увидели незнакомое устройство - завершите сеанс;
Если вы получили сообщение о входе в свою учетную запись — убедитесь, что оно исходит из оригинального Telegram канала уведомлений и новостей. Мошенники могут выдать себя за этот канал уведомлений, чтобы заставить вас предоставить им код из SMS;
Чтобы войти в Telegram, используйте другой номер телефона — или даже виртуальный номер телефона — вместо вашего фактического номера. Чтобы скрыть свой IP-адрес, используйте VPN.Также не стоит забывать, что оконченное шифрование работает только в секретных чатах! Предпочтительнее использовать их.