Bis vor kurzem wurde nirgendwo außer bei der Anmeldung bei einem Konto ein Passwort angefordert. Die Dinge änderten sich, als wir die Möglichkeit hinzufügten, einen Kanal auf ein anderes Konto zu übertragen und heute Bots zu übertragen. Nicht nur, dass Sie für die Übertragung die Kriterien erfüllen müssen, z. B. 2FA aktiviert haben und 7 Tage damit sitzen müssen, das Kennwort nicht ändern usw. Sie müssen das Kennwort auch erneut eingeben, wenn Sie den Status des Kanalbesitzers übertragen. Und das ist großartig!
Stellen Sie sich meine Überraschung vor, als ich mich entschied, die Handynummer auf meinem Hauptkonto zu ändern. Befolgen Sie die Aktionen: Gehen Sie in die Einstellungen, klicken Sie auf Bearbeiten, tippen Sie auf die Nummer, bestätigen Sie die Absicht, geben Sie eine neue Nummer ein, geben Sie den Code ein, der per SMS an die neue Nummer gesendet wurde , das war's ...
Es fehlt etwas ... Es ist etwas zu einfach ... Oh ja, aber wo ist 2FA wie bei der Kanalübertragung? Ich habe es eingeschaltet! Okay, wenn ich es nicht benutzt hätte!
Und was sich herausstellt. Die Person, die Zugriff auf unser Gerät erhalten hat, indem sie gewaltsam Ihren Finger auf Ihr Gesicht gelegt oder dieses verwendet hat, konnte Ihr Konto vollständig entfernen, ohne das Passwort kennen und auf Ihre alte Nummer zugreifen zu müssen.
Jetzt kann sich niemand mehr im Konto anmelden.Nach dem Ändern der Nummer schloss die Person alle Sitzungen auf Ihren anderen Geräten und ließ nur diejenige übrig, die sie mitgenommen hatte. Sie können sich nicht in Ihrem Konto anmelden, da Sie einen Code von einer SMS an eine Nummer benötigen, die Sie nicht kennen. Der Angreifer kann sich nicht von einem anderen Gerät aus anmelden, da er ein Passwort von 2FA benötigt, aber Zugriff auf Ihr Konto hat! Er braucht nicht mehr!
Natürlich wäre es einfach toll, beim Ändern der Nummer eine Passwortbestätigung hinzuzufügen . Der Fall nicht nur mit der erzwungenen Auswahl des Telefons, sondern auch mit dem Szenario "einer Person einen Beitrag zum Lesen gegeben" wird auch jeder des Kontos beraubt. Ändert die Nummer und schließt alle Sitzungen, einschließlich der aktiven.
Telegramm verfügt über Mechanismen zum Löschen von Konten, wenn der Mobilfunkbetreiber die Nummer an einen anderen Eigentümer übertragen hat und sich herausstellt, dass die Nummer bei 2FA registriert ist. Konfrontierte dies persönlich. Ich hatte 7 Tage Zeit, um den gesamten Vorgang abzubrechen. Um es abzubrechen, müssen Sie den Code aus der SMS von einer Nummer eingeben, auf die ich keinen Zugriff mehr hatte. Eine andere Möglichkeit bestand darin, die Telefonnummer in eine andere zu ändern. Ich habe gerade alles von diesem Konto auf ein anderes übertragen ... es wurde gelöscht.
Es ist klar, dass es eine schlechte Idee ist, eine alte Nummer zu bestätigen, um sie in eine neue zu ändern. Es tötet Lösungen für verschiedene Problemfälle. Aktive Sitzungen und 2FA sollten ein Garant sein, und Sie müssen im Allgemeinen irgendwohin gehen, um Telefone zu binden, aber bisher gibt es keinen ... Bot API 5.0 wurde
gerade aktualisiert! Sehr saftig, besonderer Dank dafür, aber zusätzlich wurde die Möglichkeit, Rechte auf Bots zwischen Konten zu übertragen, zum Verkauf gebracht. Und trotz der Tatsache, dass die gesamte Kontrolle über BotFather'a (offizieller Bot) erfolgt, kann 2FA angefordert werden ! Diese Art von Inline-Schaltfläche ist nicht dokumentiert . Wenn Sie diese Taste drücken, wird ein Fenster mit einem Kennwort angezeigt.
Screenshot des Popup-Fensters während der Übertragung von Rechten
Nachdem Sie sich alle möglichen Fälle angesehen und verschiedene Ansätze in Telegram gesehen haben, können Sie Pavel ( @durov ) nur zu einer Sache befragen ... Verwenden wir die 2FA-Bestätigung nicht nur beim Eingeben und Ändern des Besitzers eines Bots / Kanals, sondern auch beim Ändern einer Telefonnummer und Löschen eines Kontos .
Was können wir über die Möglichkeit sagen, ein Konto ohne 2FA zu löschen, wenn es dennoch gelöscht werden kann, indem das Konto in "Gespeicherte Nachrichten" umbenannt wird?
Video mit Konto beim Umbenennen löschen
Mein kleinster Artikel, also ohne das übliche "Danke fürs Lesen bis hierher".
PS Wir verwenden keine Fingerabdruckscanner mit Gesichtserkennung. Wir speichern keine Passwörter in unseren Köpfen. Generieren Sie zufällige, speichern Sie sie in Passwort-Managern. Zumindest etwas, zumindest irgendwie. Es wird niemals ideal sein.
PSS Vielen Dank an Oleg für das Löschen von zwei Konten für das Videomaterial dieses Artikels.