Link alla notizia: http://www.hwupgrade.it/news/telefonia/telegram-violato-privacy-compromessa-da-hacker-iraniani_63926.html

Il servizio di messaggistica istantanea è stato "bucato" in Iran per via di una falla nel sistema di autenticazione via SMS

Click sul link per visualizzare la notizia.

Più o meno so stati tutti violati, FB compreso. Addirittura sui metodi di hackeraggio FB, ci sono delle guide online liberamente consultabili :asd: :D

http://www.aranzulla.it/come-rubare-una-pagina-di-facebook-26992.

Ormai non esiste più distinzione tra hacker privato e hackeraggio di stato. Il controllo e spionaggio sono globalizzati anche quelli :asd:

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS
2) non viene spiegato come hanno intercettato gli sms

Vabbè, Aranzulla ha la medesima credibilità di Muciaccia con colla e forbici arrotondate :D

Vabbè, Aranzulla ha la medesima credibilità di Muciaccia con colla e forbici arrotondate :D

In effetti, citare Aranzulla in un forum più "tecnico" mi sembra un po' esagerato...
:stordita:

Citare Aranzulla per cose serie è come usare Sasha Grey per una campagna sulla verginità.

Era una citazione volontariamente provocatoria ecchediamine! :D
Ma poi come spiegato nell'articolo, il sistema non è stato effettivamente violato, ma solo gli sms di verifica. Per altri casi invece si è trattato di reale hackeraggio.

Ussignur anche qui... Hanno violato la compagnia telefonica (o meglio, probabilmente e' in combutta con il governo). Altro che violato telegram, se becco l'sms di verifica violo quello che voglio, e' una violazione del canale out of band usato per l'autenticazione e il programma e' indifferente. Questo articolo e' SBAGLIATO, da hwu mi aspetterei che si leggessero le notizie di altri con occhio clinico prima di ripubblicarle.

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS
No, però all'atto pratico milioni di account sono stati violati.

2) non viene spiegato come hanno intercettato gli sms
Flaw SS7.

Ussignur anche qui... Hanno violato la compagnia telefonica (o meglio, probabilmente e' in combutta con il governo). Altro che violato telegram, se becco l'sms di verifica violo quello che voglio, e' una violazione del canale out of band usato per l'autenticazione e il programma e' indifferente. Questo articolo e' SBAGLIATO, da hwu mi aspetterei che si leggessero le notizie di altri con occhio clinico prima di ripubblicarle.
L'articolo non ha tutti i torti a "bacchettare" Telegram.
Essendo il problema degli SMS è verissimo che potrebbe succedere anche con qualsiasi altro messenger, ma se fosse successo con un servizio non cloud-based (come Signal o WA) tutta la cronologia della chat precedente al momento dell'attacco sarebbe stata al sicuro.

ma cosa c'entra? E' un difetto di design che hanno tutti quelli con la doppia autenticazione, dropbox compreso per dirne uno a caso... Esordire con "hanno bucato telegram" e' semplicemente sbagliato, al limite hanno "attaccato telegram". Che peraltro da quel che so (non lo uso) avverte appena un device si connette al pool di quelli abilitati per l'account

Telegram non c'entra niente, anche perche' consente l'autenticazione a due passaggi, con la quale anche se l'sms fosse intercettato non sarebbe possibile accedere a conversazioni o altro.

No, però all'atto pratico milioni di account sono stati violati.


Flaw SS7.


L'articolo non ha tutti i torti a "bacchettare" Telegram.
Essendo il problema degli SMS è verissimo che potrebbe succedere anche con qualsiasi altro messenger, ma se fosse successo con un servizio non cloud-based (come Signal o WA) tutta la cronologia della chat precedente al momento dell'attacco sarebbe stata al sicuro.

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM
Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

e' un attacco mirato per questioni politiche locali. Il resto e' solo cattiva informazione secondo me.

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram,
Forse perché il bersaglio in questo caso è stato Telegram? XD
Inoltre per quel che ho scritto un po' più sopra: i servizi cloud sono ancora più critici a questo tipo di violazioni perché mettono a rischio la cronologia integralmente e non solo quella futura.

che poi è il più sicuro di tutti in fatto di crittografia e anonimato,
No nel modo più assoluto, anzi, è uno dei peggiori in tal senso.
In primis non è possibile parlare di anonimato quando ti registri col numero di telefono, inoltre è ormai parere diffuso di molti crittografi che la crittografia end-to-end di Telegram lasci molto a desiderare. Senza contare che Telegram la utilizza solo se scegli le chat segrete (quindi quasi mai), le chat normali sono in chiaro ai loro server.
Invece servizi non cloud come Signal o WhatsApp utilizzano un molto più solido protocollo crittografico end-to-end di default.

dove c'è anche l'auto cancellazione dei messaggi.
Secondo me non è un valore aggiunto così rilevante, eluderla è facilissimo.

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

Ho linkato quel video perché era IT, ma nel canale ci sono anche WhatsApp, Facebook, ...
https://www.youtube.com/user/tbthomasbrewster/search?query=ss7

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

Tanto per dire ho fatto un nuovo account Whatsapp e mi è arrivato il codice di conferma via SMS quindi qua han voluto fare un bel bait :D :D

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM

Si attacco al quale anche Whatsapp e Signal sono soggetti e non immuni. Telegram con la doppia autenticazione attiva diventa immune.

Forse perché il bersaglio in questo caso è stato Telegram? XD
Inoltre per quel che ho scritto un po' più sopra: i servizi cloud sono ancora più critici a questo tipo di violazioni perché mettono a rischio la cronologia integralmente e non solo quella futura.


No nel modo più assoluto, anzi, è uno dei peggiori in tal senso.
In primis non è possibile parlare di anonimato quando ti registri col numero di telefono, inoltre è ormai parere diffuso di molti crittografi che la crittografia end-to-end di Telegram lasci molto a desiderare. Senza contare che Telegram la utilizza solo se scegli le chat segrete (quindi quasi mai), le chat normali sono in chiaro ai loro server.
Invece servizi non cloud come Signal o WhatsApp utilizzano un molto più solido protocollo crittografico end-to-end di default.


Secondo me non è un valore aggiunto così rilevante, eluderla è facilissimo.

Sempre la stessa discussione già vista qui (http://www.hwupgrade.it/forum/showthread.php?p=43788220), inutile ribadire.

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS
2) non viene spiegato come hanno intercettato gli sms

Tutto vero. In questo modo anche gmail e qualsiasi altro sistema che sfrutta la verifica tramite sms può essere violato qualora ci fosse l'appoggio del gestore telefonico.

In Telegram, però, si può arginare il problema con la doppia verifica (sms+password, che ha sempre usato anche il sottoscritto).

Dato che ora si conosce la minaccia si può pensare di cambiare sistema di autenticazione. Ovvero:

1) Mandare il codice solo sulle sessioni telegram già verificate (in caso di una seconda sessione)
2) Abilitare il dispositivo con un QR code (sempre in caso di seconda sessione)

Per quanto riguarda la prima attivazione:
- Mandare il codice tramite SMS, ma... quel codice deve essere generato per risolvere l'algoritmo con il seriale del dispositivo, il MAC address e l'IMEI della scheda.

Quindi se si inserisce quel codice su un dispositivo con uno di questi seriali differenti, non può essere abilitato.