Telegram是个标榜安全的通讯软件,今年2月该公司宣布他们每个月有1亿名活跃用户,每日发送150亿个讯息。而在,有大约2000万个Telegram用户。
《路透社》早前报导,两名研究黑客组织达3年的专家——独立网络研究员Collin Anderson及国际特赦组织的科技专家Claudio Guarnieri——发现,有方法可以入侵Telegram帐户,从而读取其讯息,也能够透过Telegram辩认千五万用家。
短讯令帐户易受入侵在访问中,Anderson表示有十多个例子是黑客透过跟电话公司合作,入侵Telegram用户。由于Telegram需要用户(在使用新装置时)以短讯确认身份,两人指假如电话公司受政府控制,就会令帐户易被入侵。
不过Telegram回应指,软件容许用户自行设定密码,毋须只依靠短讯确认,能防止这类攻击,而这密码可以透过电邮重设。其发言人Markus Ra说︰「假如你使用一个强的Telegram密码,而且你的电邮安全,攻击者就无法入侵帐户。」
但国际人权促进会(ICHRI)的网络研究员Amir Rashidi曾协助被黑客入侵的受害者,他指有Telegram用户即使设定了密码,仍然受到监控。Ra则表示在这情况下,用作重设密码的电邮有可能同时被入侵。
Guarnieri及Anderson指这些黑客来自一个称为「火箭小猫」(Rocket Kitten)的组织,该组织惯常使用「鱼叉式网络钓鱼」——装作熟人的攻击方式——来行动,并显示出对人使用的保安软件有兴趣。
他们更指被入侵的用户,包括参与改革运动以及反对团体的政治运动者,但拒绝透露其姓名。Anderson表示见过有人在被拘捕之前,先被锁定目标。
黑客用电话识别用户,建立资料库两人表示,他们有证据显示黑客利用Telegram的应用程式介面(Application Programming Interface, API),来识别最少1500万个电话号码所注册的Telegram帐户,以及相关的用户编号。
他们认为这些资讯,可以用来建立一个用户资料库,对未来的攻击或调查有用。Guarnieri指此前未曾有人揭露过「有系统地为整个国家使用加密工具的人去匿名及分类」的事件。
Telegram的回应则指,由于该软件建基于电话号码及其联络人,任何人也可以检查一个电话有否在其系统注册,这也适用于其他类似通讯软件,例如WhatsApp和Facebook的Messenger。Ra表示该公司曾封锁类似的尝试,并致力改善其检测及封锁机制。
两人将会于今个星期四,在拉斯维加斯举行的「黑帽」网络安全会议上演讲,介绍在一些受政府资助的网络攻击。他们亦会在今年稍后时间,发表关于Telegram攻击及其他研究的全面报告。
如何在Telegram保障通讯安全一般而言,Telegram的通讯内容会存放在其伺服器,以便用户透过其他装置登入时,能够读取先前的讯息。不过其秘密通话(secret chat)功能,可以让用户使用点对点加密(end-to-end encryption)通讯,只有特定装置可以存取,不会在云端存放,因此也不受上述攻击影响。
假如你希望使用安全、不被窃听的通讯软件,除了要开启秘密通话外,也要启用Telegram以下设定(在私隐及安全页面)︰
Passcode Lock——设定后可以在装置上锁定Telegram,锁上后即使装置被人偷走也须要先破解密码。但注意假如你忘记密码,就必须重新安装软件,并失去所有秘密通话内容。 Two Step Verification——按进去可以设定额外密码,以及填上回复密码的电邮地址(可以略过),设定后每当增加新装置时,除需要短讯传送的安全编码外,也需要输入密码。 Active Sessions——可以看到现时有甚么装置登入了你的Telegram帐户。相关文章︰
重私隐通讯软件Telegram 封锁大量ISIS宣传频道 英新法案限制公司 只能提供「可破解」加密通讯 影响私隐权 不用数学,一张图了解公钥加密法原理资料来源︰
Exclusive: Hackers accessed Telegram messaging accounts in Iran - researchers (Reuters) Keep Calm and Send Telegrams! (Telegram) Hack Brief: Hackers Breach the Ultra-Secure Messaging App Telegram in Iran (Wired) Telegram denies Iranian mass breach (BBC) Hackers compromise dozens of Telegram chat accounts in Iran (The Verge)