网友: https://github.com/abusetelegram/telegram-recorder
很多时候,Telegram本身被认为是一个安全,可以自由交流的地方。但是,接近无限的消息储存和公开的消息读取让很多人的信息处在一个危险的状态:你在公共区域发送的消息,即使是修改,删除了,也是可以被直接记录的。
而与此同时大多数人对于这个概念却是缺失的。
这个仓库的目的是为了验证一个攻击概念,即可以完整的追踪并标记一个独立ID的个体,是可行的。
你可以做什么呢?也许他在某个时刻发送了一张他的桌面截图,上面有他的一些信息,或者是说了一句“我在xx省”,就算是删除了,只要是公开群,或者是公开链接的私密群,都是可以被记录下来的。而且这个过程完全可以不被发现。一点一滴下来的结果,是什么呢?
借此希望提醒所有人,在公开群组,或是任何你不熟悉的人的群组的发言要谨慎。Telegram从某种程度上来说,是安全的。但是你自己作死泄漏的信息,谁也帮不到你。
这个项目最开始是为了回应 @CNBlackListR 项目被质疑收集信息而制作的demo,用于证明实际上,一个群组的最基本组成部分———群成员才是最大的潜在记录者。
Telegram是个好地方,不错,对于熟悉的人之间的交流是的。但是Telegram目前的机制对于陌生人之间的互动,以及消息保护,是极其不到位的。在如此开放且声称安全的平台下,默认的安全设置却如此之低(默认允许任何人拉你群入,查看在线状态),但是对于正常使用时被封锁,申诉的成本,却如此之高(默认不回复,志愿者团队就等于没有)。同时,创建账号的成本对于号商来说,也是无比的低(随意换号注册,删除账号即可解除大部分限制,十几个号就可以造成很大的影响)。且不提淘宝上都已经有完整的产业链了。
这是一个态度问题
再举一个例子:官方在之前的inline bot泄漏用户IP地址漏洞上,在几个月前就有开发者反馈的情况下,却是在新闻炒作的时候才部分修复了这个漏洞(对,部分平台的客户端,第三方客户端依然存在这个问题)。【数据来源稍后补充】
不得不说,对于一个以安全放在首要位置上的聊天软件,虽然说技术上很敬佩,但是态度上,我只能说我看不到诚意。甚至在很多时候,感觉是为了避免自身信誉收到影响而对于部分事件故意不做出回应,而在有利地位的时候却大写新闻稿。
很多时候,Telegram本身被认为是一个安全,可以自由交流的地方。但是,接近无限的消息储存和公开的消息读取让很多人的信息处在一个危险的状态:你在公共区域发送的消息,即使是修改,删除了,也是可以被直接记录的。
而与此同时大多数人对于这个概念却是缺失的。
这个仓库的目的是为了验证一个攻击概念,即可以完整的追踪并标记一个独立ID的个体,是可行的。
你可以做什么呢?也许他在某个时刻发送了一张他的桌面截图,上面有他的一些信息,或者是说了一句“我在xx省”,就算是删除了,只要是公开群,或者是公开链接的私密群,都是可以被记录下来的。而且这个过程完全可以不被发现。一点一滴下来的结果,是什么呢?
借此希望提醒所有人,在公开群组,或是任何你不熟悉的人的群组的发言要谨慎。Telegram从某种程度上来说,是安全的。但是你自己作死泄漏的信息,谁也帮不到你。
这个项目最开始是为了回应 @CNBlackListR 项目被质疑收集信息而制作的demo,用于证明实际上,一个群组的最基本组成部分———群成员才是最大的潜在记录者。
Telegram是个好地方,不错,对于熟悉的人之间的交流是的。但是Telegram目前的机制对于陌生人之间的互动,以及消息保护,是极其不到位的。在如此开放且声称安全的平台下,默认的安全设置却如此之低(默认允许任何人拉你群入,查看在线状态),但是对于正常使用时被封锁,申诉的成本,却如此之高(默认不回复,志愿者团队就等于没有)。同时,创建账号的成本对于号商来说,也是无比的低(随意换号注册,删除账号即可解除大部分限制,十几个号就可以造成很大的影响)。且不提淘宝上都已经有完整的产业链了。
这是一个态度问题
再举一个例子:官方在之前的inline bot泄漏用户IP地址漏洞上,在几个月前就有开发者反馈的情况下,却是在新闻炒作的时候才部分修复了这个漏洞(对,部分平台的客户端,第三方客户端依然存在这个问题)。【数据来源稍后补充】
不得不说,对于一个以安全放在首要位置上的聊天软件,虽然说技术上很敬佩,但是态度上,我只能说我看不到诚意。甚至在很多时候,感觉是为了避免自身信誉收到影响而对于部分事件故意不做出回应,而在有利地位的时候却大写新闻稿。