𝗧𝗚𝗴𝗲𝗲𝗸 ♾ TG极客

This channel is no longer maintained.

2019.01.13 - 2022.11.12

Telegram 群组的话题功能 / Topics in Groups

11月的更新带来了 Topic 群组话题功能[link]。
这个功能是专门为大型群组设计；今年晚些时候，官方或将再推出一套适合小群组的工具。
Telegram 官方话题群 @TheForum

● 客户端要求：
Telegram iOS 9.1.0
Telegram Android 9.1.0
Telegram Desktop 4.3.0
注：点此查看 Telegram 官方发布渠道。

● 使用限制：
群组需要达到200人以上，公开或私密群组均可。
绑定频道的附属群组（评论区群组）不可以开启话题功能。
仅群主可以开启此功能，在群组设置开启 Topics (话题) 即可。

● 使用变化：
对于满足上述要求的群组，可以开启话题功能。
当话题功能开启后：

群组将变成类似 Discord 的论坛形式，群组被标记为 is_forum=True [link]，发送在话题内的消息被标记为 is_topic_message=True 并增加 message_thread_id [link]。

消息链接的变化[link]，以公开群组为例：
由传统的
https://t.me/username/message_id
变为论坛形式
https://t.me/username/message_id?thread=message_thread_id

对于话题管理，新增了 can_manage_topics 字段，来设置群组管理员[link]、普通群员[link]、 群组默认权限[link]和已受限成员[link]对话题的创建、重命名、关闭或重启的权限。

对于普通群员创建的话题，其可以对该话题编辑/关闭/开启；群主和管理员可以对该话题编辑/关闭/开启/删除。
对于关闭的话题，只有话题创建者、群主和管理员可以发言，其他群员不可以发言。

一个群组只能置顶一个话题，一个话题内可以置顶多个消息。

群组原消息在切换为原始模式后，仅能查看，或回复已在话题里的消息，而不能直接发送消息。
也就是说对于较多群聊记录的群组而言，开启这个功能会导致与历史消息的互动性下降。

部分内容整理自 TG极客 @TGgeek 评论区[link]。
欢迎在此贴下评论补充。

🏷 TAG #Telegram
📢 TG极客 @TGgeek

Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。查看原文。

今天的 Telegram 更新让我感到特别兴奋。它为大型群组增加了话题功能，将这些线性聊天转变为传统互联网论坛的移动端友好版本。

讽刺的是，我在20年前建立的第一个流行的互联网服务也是一个互联网论坛，那是一个为我的大学学生服务的留言板，它最终发展成为那个地区最大的学生门户网站。

16年前，我再次将论坛纳入我创建的社交网络 VK 的社区部分。由于 VK 是俄罗斯、乌克兰、哈萨克斯坦和其他国家最受欢迎的交流平台，数千万的人使用那里的论坛功能。

我对那个时代感到怀念。那时我还没有雇用工程师和设计师，因此一切都是我自己编程和设计，我要每天工作20小时。

今天，我很幸运地拥有世界上最好的代码团队，以更现代、更快速、更方便的形式为所有平台上的数亿人重新创造了论坛体验。Telegram 现在将支持更有组织的对话，成千上万的人可以在同一个小组中同时讨论不同的话题。

今天的话题功能包含了很多特性，包括 "关闭" 和 "置顶话题"，具有灵活的通知选项，还有很多有趣的动画表情符号可用作话题图标。但这仅仅是个开始。利用 Apple 公司审查导致的两周延迟时间，我们已经开始将这些新的线程组扩展为更强大的东西。

🏷 TAG #Telegram #Durov
📢 TG极客 @TGgeek

Telegram 正式版功能更新

客户端及版本：
Telegram iOS 9.1.0
Telegram Android 9.1.0
注：点此查看 Telegram 官方发布渠道。

群组话题、区块链用户名、视频信息的语音转文字及更多

● 群组话题 / Topics in Groups
200名成员以上的群组现在可以开启话题功能，为不同的话题创建独立的讨论空间。
每个话题均支持独立的共享媒体和通知设置。成员可以自由在任何话题中聊天，并使用所有功能，如投票、置顶和机器人。
群组管理员可以在群组设置中启用话题功能，并可以在权限中控制有权限创建和管理话题的用户。
这个功能是专门为大型群组设计的，增加了新的方式来定制聊天并促进讨论。今年晚些时候，预计将再推出一套为小群组量身定做的工具。

● 可收集的用户名 / Collectible Usernames
可收集的用户名就如同基本的用户名形式一致，如 @TGgeek ，也可出现在全局搜索结果中，并具有形如：
TGgeek.t.me 和 t.me/TGgeek 形式的链接。

与基本用户名不同的是，可收集的用户名可以少于5个字符，如 @news 或 @game 。当用户获得后便可以完全控制其可收集的用户名，用户能够进行交易或保留供以后使用。

除了一个基本的用户名之外，现在可以为你的每个账户和公开群组分配多个可收集的用户名。
用户可以停用任何一个可收集的用户名，使其在搜索结果中不可见，同时不会失去该用户名。

TON 将保证可收集的用户名的所有权，TON 是一个快速和可扩展的区块链网络。它们可以通过一个新的平台进行买卖，为获得和交换有价值的Telegram域名提供一个简单而安全的方法。

● 视频信息的语音转文字 / Voice-to-Text for Video Messages
该功能为 Telegram Premium 功能。
该功能允许 Premium 用户将圆形视频信息转换为文本。

● 其他
新的表情包；
iOS 客户端重新设计的夜间模式；
Android 客户端调整文本字号；
UI 设计方面的小改进；
新的互动式 emoji 和 Reaction 表情回应；

本次更新详细内容：
https://telegram.org/blog/topics-in-groups-collectible-usernames

🏷 TAG #Telegram #更新
📢 TG极客 @TGgeek

Telegram 撤回欺诈性订阅

据消息[link]，有用户通过 Telegram 的漏洞以欺诈的方式向其他用户免费赠送 Premium 订阅。由于 Telegram 没有收到订阅费，因此而造成的经济损失估计可达数十万，甚至数百万美元。

据消息[link]，Telegram 已将这种由第三方供应商以欺诈方式提供的 Premium 订阅取消。
Telegram 也通知了这类用户其 Premium 订阅已被取消，并称如果想购买真正的 Telegram Premium 订阅，必须使用 @PremiumBot 或其他官方的支付方式。

🏷 TAG #Telegram
📢 TG极客 @TGgeek

Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。查看原文。

我们为你准备了一些万圣节惊喜，但似乎有人不想让我们庆祝。Telegram 的最新更新已经在 Apple 审核中停留了一周以上，但目前仍没有告知我们延迟的原因。

Apple 称他们将在24小时内审查应用程序，但是，根据我们的经验，那些重要的产品更新至少需要7-10天才能上架 AppStore。我的那些小型应用程序开发者朋友们告诉我，这对他们来说简直更糟糕，就为了向他们的 Apple 用户发送 bug 修复，他们必须等待一个多月。

然而，事情正变得积极。明天，名为 "Digital Markets Act" (数字市场法) 的新法律将在欧盟生效。这项法规应该结束 Apple 和 Google 等 "守门人" 滥用市场力量的行为。

我们这些开发者应该开始依靠数字市场法来保护自己和我们的用户。如果你是一个在 AppStore 或 GooglePlay 面临问题的应用开发者，请通过你公司的邮件地址将此事发送至 pavel@telegram.org 告诉我，在标题中写上 "DMA" 一词。这将由 Apple 公司决定，他们是打算把资源用于改进他们的流程，还是打算用于罚款。

万圣节快乐！
是时候与恶魔战斗了。

🏷 TAG #Telegram #Durov
📢 TG极客 @TGgeek

Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。查看原文。

一些内容创作者开始使用第三方支付机器人，在其 Telegram 频道中出售单个帖子的访问权限。如此一来内容创作者就可以收到将近100%的用户付款，这很好的事。

不幸的是，我们收到了 Apple 公司的消息，他们对内容创作者在没有向 Apple 公司支付30%的税款的情况下，就实现货币盈利而感到不满。由于 Apple 对其生态系统有完全的控制权，我们别无选择，只能在 iOS 设备上禁用这类付费帖子。

这只是另一个例子以表明，一个价值数万亿美元的垄断企业是如何滥用其市场主导地位，来牺牲数百万用户试图将自己的内容盈利化。我希望欧盟、印度和其他地方的监管机构开始采取行动，以免 Apple 通过收取高于任何政府征收的增值税税款，来摧毁更多的梦想或压垮更多的企业家。

同时 Telegram 将努力为创作者提供强大和易于使用的工具，让用户在 Apple 这受限的生态系统之外，将他们的内容实现货币化。

🏷 TAG #Telegram #Durov
📢 TG极客 @TGgeek

Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。查看原文。

正如我之前的承诺，我们已经推出了购买 Telegram 用户名的专用平台，即 fragment.com 。最有价值的用户名拍卖已经开始了，所以请务必去查看。几天后，我们还将为用户在 Fragment 上添加出售已拥有用户名的功能。

在社交媒体的历史上，第一次建立了一个公平、透明的用户名市场。最后，人们将拥有社交媒体地址的所有权，并受保护于一个去中心化区块链网络的不可变更账本。

这只是一个开始，但也是一个重要的里程碑，权力已经开始转移到用户的手中。

🏷 TAG #Telegram #Durov
📢 TG极客 @TGgeek

Telegram "付费解锁媒体文件"功能

Telegram 此前在 TDLib 中新增了付费解锁媒体文件的相关代码[link]。

现在这个功能已经上线，一个俄罗斯记者在自己的频道发布了需付费才可查看的媒体文件[link]，并且他说到："Telegram 机器人 @donate 为独家内容提供了一种新形式：点击文件后支付以查看帖子内容（你也可以用俄罗斯银行卡付款）"。

TG极客 TGgeek 注：
如上帖展示，这是转发自原频道的付费内容，仅作展示，内容与收费与本频道无关，收款人为原频道主。

🏷 TAG #Telegram
📢 TG极客 @TGgeek

Telegram 用户名交易平台上线

Telegram 用户名交易平台 fragment.com 上线，已认证的机器人 @fragment 用于拍卖通知。
该网站目前美国 IP 不可访问。

关于 Fragment 平台的更多问题请查看：
https://fragment.com/about
（我也用不上，懒得翻译了，溜~

🏷 TAG #Telegram
📢 TG极客 @TGgeek

网络服务的开源代替方案

出于隐私、开源等需求，因此尝试使用了一些网络服务的开源代替实例。

本篇内容论述偏主观，不具有普遍适用性，仅供参考。
✅ 推荐尝试的用户：
- 厌恶互联网巨头/广告公司的数据追踪、信息收集的用户；
- 开源爱好者；
- 没有过度账号依赖的用户；
- 无聊没事做的用户。

❌ 不推荐使用的用户：
- 在线服务全家桶用户；
- 重度账号依赖的用户。

● Google search
或许你是这样的人：
愿意使用 Google 搜索但讨厌 Google 数据追踪、信息收集、用户画像或人机验证；
尝试使用 DuckDuckGo 或 Ecosia 等 Bing-based 搜索引擎但体验不佳[link]；
尝试使用 StartPage 这一 Google-based 搜索引擎但顾虑其被 system1 收购[link]。

替代项目：SearxNG
项目地址：https://github.com/searxng/searxng
公开实例：https://searx.space
TG极客 @TGgeek 注：
1. SearxNG 是开源隐私搜索引擎项目 searx 的分支项目，由 searx 的前维护者创建。
如果想运行或使用公共实例，请选择 SearxNG；如果想自己托管实例，请选择 searx。[link]
2. 对于公开实例，请尽可能选择评价高、延迟低的实例，并且不同的实例的默认设置一般不同，搜索结果会受到实例的服务器 IP 以及实例的设置中 Search language (搜索语言)、Engine (搜索引擎) 的配置影响而不同，需要调试至适合自己的配置。此外，一些实例将会替换搜索结果中的服务提供者，如 @TGgeek 经常使用由 tiekoetter 提供的实例，该实例会将 YouTube 替换为 invidious (下文有介绍)，wikipedia 替换为 wikiless，Reddit 替换为 libreddit 等等。总之，多尝试之后，再选择适合自己的实例。

● Google Translate
替代项目：lingva-translate
项目地址：https://github.com/thedaviddelta/lingva-translate
官方实例：https://lingva.ml
TG极客 @TGgeek 注：
Google Translate 的替代前端，用户可在不直接访问 Google 相关服务的情况下进行翻译，避免 Google 的数据跟踪。

● YouTube
替代项目1：invidious
项目地址：https://github.com/iv-org/invidious
公开实例：https://docs.invidious.io/instances
替代项目2：Piped
项目地址：https://github.com/TeamPiped/Piped
官方实例：https://piped.kavin.rocks
公开实例：https://piped.kavin.rocks/preferences (页面底部)
TG极客 @TGgeek 注：
YouTube 的替代前端，轻量、无广告、无追踪、无需 JavaScript，还有更多特性。
以 tiekoetter 提供的 invidious 实例和 Piped 的官方为例，对比 YouTube、invidious、Piped 的播放页面：
YouTube | invidious | Piped

● Twitter
替代项目：nitter
项目地址：https://github.com/zedeus/nitter
官方实例：https://nitter.net
公开实例：https://github.com/zedeus/nitter/wiki/Instances
TG极客 @TGgeek 注：
Twitter 的替代前端，轻量、无广告、无追踪、无需 JavaScript，还有更多特性。
以 nitter 官方实例为例，对比 Twitter 和 nitter 的账户主页：
Twitter | nitter

● Reddit
替代项目：libreddit
项目地址：https://github.com/spikecodes/libreddit
官方实例：https://libreddit.spike.codes
公开实例：https://github.com/spikecodes/libreddit#instances
TG极客 @TGgeek 注：
Reddit 的替代前端，轻量、无广告、无追踪、无需 JavaScript，还有更多特性。
以 libreddit 官方实例为例，对比 Reddit 和 libreddit 的话题版面：
Reddit | libreddit

● 其他
以上只是简单罗列了几个 @TGgeek 日常使用的项目，对于其他网络服务的替代还有很多，可以自行搜索关键词查找，或者查看已归类的开源替代项目[link/link]。

TG极客 @TGgeek 注：
对于 Firefox 用户，在项目对比中， 除了功能性、页面设计的对比外，可能有用的事项：
1. 通过 about:performance 和 about:processes 页面对比不同页面的资源占用和性能开销情况。
2. 通过 uBlock Origin [link] 或同类工具对比页面的脚本拦截（受到已订阅规则的影响）。
3. 通过 CanvasBlocker [link] 或同类工具对比页面的浏览器指纹请求。
4. 进行适当的 Firefox 设置 [link]。

🏷 TAG #TGgeek #互联网
📢 TG极客 @TGgeek

Telegram beta 测试版功能更新

客户端及版本：
Telegram Android beta 9.1.0 (28519)
注：点此查看 Telegram 官方发布渠道。

● 消息轮廓
当聊天内容正在加载时，将显示消息气泡的暗色轮廓。[link]

● 新的 "不可用" 弹出窗口
新的弹出窗口设计，通知用户聊天的不可用性，适用于 ToS 或侵犯版权而被封禁的群组/频道，或用户在群组/频道被封禁，或私密对话不可访问等情况。[link]

● 视频信息转换为文本
对于收到的圆形视频，只需一次点击就可以解密传入视频消息的内容，将圆形视频的语音转换成文本，并显示在视频的正下方，然后将显示为带有解密内容的 "消息气泡"。[link]
该功能仅适用于 Telegram Premium 用户。
目前该功能不可用。

● 群组聊天的 Topic (主题/话题)
Topic (主题/话题) 是群组内的子聊天室，在每个子聊天室里，成员可以加入各种讨论。[link]
关于 Topic 功能，目前已知的是：
- 只适用于有200名以上成员的群组。
- Topic 不能在绑定频道的群组中开启。
- （可能）只有群组所有者能够开启群组中的 Topic 功能。
- 表情符号可设置为 Topic 的头像（需要高级订阅）。
- Topic 可以根据需要进行关闭、重开或删除。
- 可以为群组内的各个 Topic 设置不同的通知条件。
- 用户加入群组后可以查看所有 Topic。
- 在聊天成员的权限设置中，可以设置 Topic 开关。
Topic 正处于测试阶段，目前只在 Telegram 测试服务器开启了部分功能，具体以正式版发布为准。

🏷 TAG #Telegram #更新
📢 TG极客 @TGgeek

基于行为的浏览器内跟踪分析

● 论文标题
Uncovering Fingerprinting Networks. An Analysis of In-Browser Tracking using a Behavior-based Approach

● 提交时间
2022年8月15日

● 原文下载
https://arxiv.org/abs/2210.11300

● 摘要
近年来，互联网隐私的重要性不断上升。 欧盟的《通用数据保护条例》从根本上改变了数字数据的处理方式，要求在处理个人身份信息时必须获得明确的同意。结合 cookie 法，用户可以选择不被广告商或其他实体分析。浏览器指纹识别是一种不需要 cookies 或持久性标识符的技术。它从各种浏览器或设备属性中得到足够唯一的标识符。学术界对攻击性和防御性指纹识别方法进行了研究，并观察到其流行程度有所上升。

本文研究了互联网上浏览器指纹识别的现状，并基于 FPMON 实现了一个可扩展的、可靠的工具 FPNET，通过观察大量网站上的指纹脚本行为来识别它们。我们会对每个网络确定其背后的参与者。我们对 Google、Yandex、Maxmind、Sift 还有 FingerprintJS 等公司进行了追踪。

在三项补充研究中，我们进一步调查了被发掘的网络，包括：(1) 文件名或域名的随机化，(2) 行为变化，(3)安全性。连续两次扫描显示，只有不到12.5%的网页没有改变脚本文件。通过基于行为的方法，我们成功地重新识别了近9000个文件名或域名发生变化的脚本，以及超过86%没有改变 URL 的脚本。安全分析显示，超过98%的脚本采用 TLS/SSL，超过30%的脚本设置了特定的网络安全头。最后，我们对现代指纹识别的不可避免性及其对互联网用户隐私的影响表示担忧，因为我们认为许多用户没有意识到被指纹识别，或者没有足够的可能性对其防范。

● 结论
本文采用基于行为的方法来揭示和分析指纹网络及其参与者。以前的工作集中在指纹识别的有效性、进攻性或防御性的指纹识别技术，如 "背景与相关工作"一节中所叙述，这项工作获取了指纹识别网络的现状及其在 Alexa 排名前 10000 中的参与者。此外，我们探讨了 JavaScript 对现代网站的重要性、指纹脚本的防御技术和网络安全实践。

为了回答我们的研究问题，我们实施了一个可扩展的指纹网络扫描系统(FPNET) 并进行了五项补充研究。首先，我们发现至少有87%的网站依赖 JavaScript 来获得最佳用户体验，这使互联网用户更倾于主动接受指纹识别。与之前的工作相比，FPNET 对单个 JavaScript 文件的关注使我们能够在接下来的研究中分析和识别指纹脚本。虽然我们基于行为的方法无法确定脚本访问特定浏览器属性的意图，但基于其高活跃度，我们将超过8.50%的脚本归类为指纹识别脚本。人工分析显示有100多个参与者控制着250多个指纹网络。通过对多达1500个网站的访问或对多达36个特征组的评分，我们发现了具有不同覆盖率和指纹识别强度的参与者。我们认为，一个参与者的属性与指纹识别的目的一致，例如，更高的准确性用于安全，或更大的覆盖面用于追踪。此外，我们发现一些指纹识别脚本将其脚本来源或行为随机化，以试图逃避检测。虽然拒绝列表的方法可能很容易发生这种变化，但我们基于行为的方法成功地重新识别了一些指纹脚本。最后，我们的结果显示，超过98%的脚本是通过安全连接加载的，而标准的网络安全标头只出现于其中的三分之一左右。从安全角度来看，这是一个积极的趋势，但仍有改进的余地。

利用这些结果，我们成功回答了我们的研究问题，并提供了互联网指纹识别现状的大图。总的来说，与以前的工作相比，我们的数据表明各种指纹识别技术急剧增加，指纹识别正被广泛采用。因此，我们预测其普及率会持续上升，从而导致新指纹识别方法的发展。不幸的是，它仍然是一种双重用途的技术，可以提高安全性或减少隐私性。由于指纹识别在后台不知不觉地发生，因此用户要分辨指纹识别脚本的意图并非易事。此外，对于用户来说，哪些数据被访问，在哪里被访问以及被谁处理，这些都是不透明的，而我们的结果和对 FPMON 的修改则为改变这种情况奠定了基础。虽然目前的法规允许用户选择退出用于侵犯隐私的 cookies，但对于指纹识别来说，却不存在这种可能性。事实上，FPNET 不同意在扫描过程中任何数据处理，但仍被采集了指纹。因此，我们认为我们的结果是一个下界，用户没有机会充分保护他们的隐私不受指纹攻击。关于随机化研究，即使是流行的隐私扩展也可能对脚本来源的改变没有效果。为了提高公众对这一主题的认识和教育，我们通过公布我们的详细列表来呼吁那些不尊重用户隐私的参与者。由于所面临的限制，这份列表并非彻底全面，但我们相信 FPNET 和我们的研究能够实现 "未来工作" 这部分所描述的进一步研究。

🏷 TAG #互联网 #文献
📢 TG极客 @TGgeek

一个非全面的清单：记录最近发生在 Telegram 上的事情

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。
原文链接: https://www.reddit.com/r/privacy/comments/ya56yj

Telegram 使用了一种非标准的加密算法，并且不对群组进行加密。这种情况一直存在，但直到最近，我还毫不犹豫地相信 Durov，认为这只是因为他不想使用美国联邦算法。但最近发生的事情让我改变了想法。

在上次俄罗斯大选前不久，Telegram 删除了大量的反对派频道。Boom，就消失了。当在 Durov 的俄罗斯频道上被问及此事时，他的回答是 "要么就是现在这样，要么就让 Telegram 在俄罗斯再次被封禁"。这是第一次让我醒悟。当然，一旦打破自己的原则，只会越来越糟。

不久之后，Telegram 就被德国政府盯上了，他们威胁说要封禁 Telegram。这产生了大量的媒体压力，然后这种压力突然停止了。德国情报机构说，这是因为 Telegram 屈服了，向他们提供了 "极端主义群组聊天" 的用户数据。Telegram 在其页面上仍然表示，它没有向任何政府发送任何用户数据。

据透露，Durov 参加了世界经济论坛的 "全球青年领袖" 项目（这个项目很有争议，你可以相信世界经济论坛，也可以不相信，我不相信）。

压垮我的最后一根稻草是：

Telegram 最近占用/盗用了我的一个热门频道用户名。我的用户名被占用了，但那些用 @XName1 @XName2 等作用户名，并在那些频道上运行 CryptoAd 机器人而不提供正常内容的人却没有被占用。真正的侵占者却待在一旁。

当宣布这个消息时，人们表现出负面的反应，Durov 立即禁用了表情回应和评论区（我不确定是否在其他争议中 "评论区" 这部分就已经发生，反正一直都是没用的狗屎，所以对这部分并不生气），因为他被狠狠地比下去了。
TG极客 @TGgeek 注：原文使用了 "ratiod hard" 这一说法，可写作 ratioed 或 ratiod，通常用于社交媒体，如 Twitter，形容对一条推文的回复数远远超过点赞或转发数。这意味着大家反对这条推文，认为原始推文不受欢迎或愚蠢。

现在，他们开始在每个小频道上发布广告，宣传他们 "很酷的独特用户名即将开始拍卖"。

看来 Telegram 正在走向卑鄙的路线，这也让我回到了关键的第一部分，当他们对负面反馈的反应是隐藏、忽视和审查，而不是解决问题或者修正它，我甚至无法相信他们设计了一个好的加密算法。也许他们一开始就没有任何原则，除了针对伊朗这样不属于西半球的国家。

我退出了。你也不应该相信他们。

🏷 TAG #互联网
📢 TG极客 @TGgeek

从即时通讯软件中获取用户位置

● 论文标题
Hope of Delivery: Extracting User Locations From Mobile Instant Messengers

● 提交时间
2022年10月19日

● 原文下载
https://arxiv.org/abs/2210.10523

● 摘要
WhatsApp 这类即时通讯软件通过发送消息投递状态通知来告知用户发出的信息是否已成功送达接收者（@TGgeek 注：Telegram 也有类似的投递状态通知，消息单√表示已送达，双√表示已阅读）。由于通常异步使用消息服务，这种功能对消息发送者来说是有用且重要的信息。然而，正如本文中所展示，这种标准功能开启了一个时序侧信道，对用户的位置隐私造成了意料之外的后果。通过在概念和实验两方面研究其对三款热门即时通讯工具的威胁，验证了这种信息泄露存在于 WhatsApp，也包括 Signal 和 Threema 这样的隐私友好型的消息应用。

结果显示，在训练阶段后，消息应用的用户可以区分信息接收者的不同位置。多轮测量和评估的分析表明，时序侧信道的存在与接收者地点间的距离无关，这种攻击对于身处不同国家或同个城市的小范围内的接收者都有效。例如，在同城市的三个地点中，消息发送者能够以80%以上的准确率确定正确的地点。因此，消息应用的用户在发送即时消息时可以暗中窥探对方的行踪。正如对策评估所显示，消息应用厂商可以在数秒内随机延迟发送确认，来有效地禁用时序侧信道。对于用户本身来说，由于没有关闭发送确认的选项，所以更难预防这种威胁。

● 应对措施
1. 对于消息应用厂商，可通过随机化投递确认时间，即对消息投递状态的确认增加一个随机的延迟来增加干扰，但是需要平衡干扰效果（随机时间不能太短）和用户使用体验（随机时间不能太长），在试验中增加1~2秒的延迟就可以产生积极的影响，未来可以进一步研究针对不同的人群设置不同的延迟或采取动态参数等措施。
2. 对于普通用户，可采取关闭消息递送状态；如果软件不支持关闭，可以尝试使用 VPN 或 Tor 来增加干扰，该方法可以降低准确度，但在某些情况下仍有较高准确性，还需要未来进一步的试验和评估。
3. 对于技术熟练或者安全敏感的用户，可以使用如防火墙工具将相关数据包从本地网络流量中过滤，但是这不适合绝大部分用户。

TG极客 @TGgeek 注：
1. 研究者选择的研究对象为 Signal、Threema 和 WhatsApp，没有 Telegram。
2. 对于该论文的分析和结论建议阅读原文，不建议直接查阅网络报道，如 9to5mac 的描述[link]，"基于研究者实验得出的分类准确度为：Signal 82%，Threema 80%，WhatsApp 74%" 这一断章取义的结论，在原文是出自于 "试验影响因素" 的 "设备行为" 这一单因素分析：由于试验接收设备处于空闲状态接收消息，而无法分析正常使用中的设备可能受到并行进程的影响而对分类准确度造成潜在影响，因此研究者进行了额外的试验得到上述数据。

🏷 TAG #互联网
📢 TG极客 @TGgeek

Telegram 用户名拍卖平台即将上线

此前 Telegram CEO Durov 所计划的用户名拍卖平台[link]，在经过了一些测试后[link]，即将正式上线。

目前新的拍卖频道 @auction 已创建并获得蓝色认证标志。

根据拍卖频道 @auction [link]和 Telegram 用户名频道 @username [link]的消息：
即将推出买卖独特且可识别的 Telegram 用户名的功能。
开发阶段即将结束，以 TON 作为底层区块链的拍卖平台即将推出。

🏷 TAG #Telegram
📢 TG极客 @TGgeek

EasyList 和许多广告拦截器正在陷入困境

据消息[link]，EasyList 广告拦截过滤规则和 AdGuard 广告拦截器遭遇流量增长异常，可能会影响到用户使用。

● 事件产生
近几周，EasyList 广告拦截过滤规则的维护者发现该项目出现巨大的流量增长，总流量从每天几TB迅速增加到10~20倍。最后事实证明，这一流量增长的源头是来自印度的 Android 设备。

AdGuard 方面称，去年11月其带宽使用率毫无理由地飙升。 在调查了这个问题之后，发现有两个具有广告拦截功能的应用程序正在滥用其服务器，与致使 EasyList 陷入瘫痪事件的相同之处是：
1. 一个具有广告拦截功能的开源 Android 浏览器（目前似乎已弃更）[link]。
2. 该浏览器是其他几个在印度非常流行的浏览器的分支项目。
3. 问题是由于该浏览器有一个非常严重的缺陷。 它在每次启动时会尝试下载广告过滤更新，而在 Android 设备上每天这可能会发生很多次。 甚至当浏览器在后台运行时也会发生这种情况。
为了解决此问题，AdGuard 采用了一个简单的办法：阻止来自这些应用的多余流量。 即便如此，仍然每月需要处理大约100TB的 "访问被拒绝" 页面。

然而，EasyList 托管于 Github，并由 CloudFlare 代理。 不幸的是，CloudFlare 不允许非企业用户使用那么多流量，现在所有对 EasyList 规则文件的请求都被限制了。
EasyList 试图联系 CloudFlare 客服，但后者表示对此无法提供帮助。 此外，为 EasyList 提供服务实际上可能违反 CloudFlare ToS。

所以，最重要的问题是：
1. 许多广告拦截器无法下载广告过滤规则更新，因为 EasyList 已被限制。
2. EasyList 可能需要更改域名。 只要继续使用 easylist.to 这一域名，这些有缺陷的浏览器就会继续 DDOS 那些 EasyList 所选择的主机。

● 对用户的影响
AdGuard 会在自己的服务器上重新托管所有过滤器列表，因此，如果使用 AdGuard 应用程序或浏览器拓展，此问题不会直接影响您。

如果您使用其他广告拦截器，那么其很有可能已经切换到镜像域，或者很快就会切换到镜像域。

目前还不清楚 EasyList 现在应采取的措施。 这是一个由志愿者支持的社区项目，它无力支付 CloudFlare 企业计划的费用。 他们是否应该为继续这份极有意义的工作，开始接受捐赠以资助服务器？ 说起来容易做起来难。 他们可以更改域名，但这是一个相当痛苦的过程，会影响到许多其他依赖 EasyList 的开源项目（即便不是千万级别，也得有数百个）。

如果您是一名安全研究人员，并能帮助找到这些对 EasyList 和 AdGuard 发起 DDOS 的 Android 浏览器，我们将非常感谢您的帮助。 上一次我们发现了两个这样的浏览器，并联系了开发人员，但问题没有得到解决，甚至情况恶化，所以可能还有更多的浏览器。
请寻找那些不断下载以下三个文件之一的终端：
https://easylist.to/easylist/easylist.txt
https://filters.adtidy.org/extension/ublock/filters/2_without_easylist.txt
https://filters.adtidy.org/extension/ublock/filters/11.txt

🏷 TAG #互联网
📢 TG极客 @TGgeek