telegram短信被拦截

SS7打击绕过WhatsApp和Telegram加密

早在2014年,研究职员 就发现【注1】 七号信令系统(SS7,Signaling System Number 7)上存在安全问题,容许打击者监听私家手机通话和拦截短信。安全公司Positive Technologies的移动网络专家上周演示了 使用SS7漏洞假冒用户吸收短信 。观点验证打击演示使用了一台运行Linux的条记本电脑和一个能与SS7协议交互的SDK。新的打击能诱骗移动网络节点,拦截加密移动通讯应用用户之间在初始阶段的聊天。缘故是加密应用使用短信验证身份和认证用户参与加密对话。新的打击方法不是破解而是绕过了如WhatsApp和Telegram等应用的加密。 新的打击对Telegram的影响更大 ,由于Telegram默认不使用端对端加密,而是明文储存了用户吸收和发送的全部历史信息,因此打击者可以立刻访问这些信息。相比之下,WhatsApp默认启用端对端加密,打击者无法访问到历史信息。

【注1】新漏洞容许任何人监听你的手机通话

德国研究职员在蜂窝通讯网络上广泛使用的 七号信令系统(SS7,Signaling System Number 7) 上发现安全问题,容许特工、黑客和犯法分 子潜在大范围 的监听私家手机通话和拦截短信。漏洞细节将在本月德国汉堡的一个黑客会议上公开,这是计划于1980年代的SS7日益变得不安全的最新证据。这些漏洞容许定位活着界任何地方的呼唤者,好比非洲刚果的一个移动运营商可被用于入侵美国的蜂窝网络。Sternraute的首创人Tobias Engel和 Security Research Labs的首席科学家Karsten Nohl过!去几个月在研究SS7时各自独立的发现了这些安全缺点。研究职员发现了两种途径监听使用SS7技能的呼唤:其一是挟制电话的转发功能,黑客能将电话呼唤重定向到他们,然后记载或监听,随后发送给目的吸收者;其二需要物理靠近,使用天线收集全部通过天空的呼唤和短信,纵然用户是通过安全的3G连接创建呼唤或发送短信,黑客也可以要求通过SS7创建通讯,让运营商释出解密密钥。

本文永世更新链接地点

问:比年鼓起的点对点加密即时信息软件,再配合二步认证,被以为相当安全。只不外,克日伊朗当局成功攻破Telegram的保安机制,令伊朗当局可以透过黑客监控异见人士通讯。中国会否出现同样环境?在中国的Telegram用户应怎样自处?

李建军:现时Telegram要加一个新装备使用户口,都要向你的手机发出一个SMS认证,而伊朗当局控制的电讯公司就拦截了认证SMS,然后参加黑客的装备,这样黑客就可以源源不绝收到监控人士的信息。

由于现时中国和伊朗环境类似,电讯公司都是由当局拥有,因此,只要即时信息软件的认证机制涉及手机号码,都有时机被政府拦截并监控。而对于中国用户而言,临时最有用的制止监控方案,就是设定使用二步认证,而且改用香港中移动和中联通以外!电话号码作为吸收Telegram验证码的号码。由于现时香港法律仍旧不容许电讯公司与当局互助,拦截手机的认证短信作监控用途。而参加二步认证后,黑客由于并无二步认证用的附加密码,因此政府就算在电讯公司成功拦截认证短信,都不大概成功参加监控用装置。

在这次翻墙问答,我预备了视频,示范Telegram二步认证在手机上的设定方法,欢迎列位欣赏本站网站注意收看。

问:假如用香港的储值卡,用作收取Telegram、Whatsapp之类认证短信之用,有什么需要留意,才能确保真正安全?

李建军:首先,你不能用中国国有电讯公司的一卡两号卡,由于他们在中都城会听从中国政府的指令行事。你必须使用具漫游功能的香港储值卡,而正常环境下,漫游期间都市收到Telegram一类的认证短信。

假如你使用Telegram,有大概在可见未来添改或变动装备的话,那你必须保持你的香港储值卡正常运作,除了要保存肯定储值额,用作每月支付两元港币到十二元港币!不等的牌费和行政费外,假如常期不打入或打出电话,电讯公司有大概冻结你的号码,届时会很麻烦。因此,有大概需要定时打出一两个简短电话,以保存你的号码。为了充值方便,选用可以网上用名誉咭充值的电讯公司较好。假如你没有名誉咭,就最幸亏香港买储值咭时,一并买入多少增值券。但亦不要买太多增值券,由于增值券有限期的,在限期前未能使用的增值券,电讯公司就会取消。一样平常而言,在储值咭户口保存五十元港币,可以保存号码几个月。

近来一篇《最安全的telegram也陷落了,账户信息可被破解》在大小媒体上流传。部分国内用户大概不理解telegram是什么,这是一款加密通讯应用。长处相关,我司也是做安全IM的,安司密信个tg是同类安全通讯。

两位研究职员Collin Anderson和Claudio Guarnieri发现,数十位Telegram用户受到了SMS重新定向入侵,打击者能完全得到账号信息,读取聊天记载和联系人信息。

打击对准的是Telegram的账户安全体系,而非账户间的信息加密。用户向Telegram账户添加新装备时,需要通过一次性的 SMS短信来确认,但假如短信被拦截,账户会被克隆到恶意装备,不外端对端加密的聊天内容无法在恶意装备上读取。

假如有谁能控制电信公司网络,就能克隆Telegram账号,而这种方法特殊合适有关部分。

实际上此次漏洞之前的ss7方案大同小异,端到端加密难度之大迫使他们放弃,选择破解账号,而不是信息。

Signal System 7(SS7)开发于20世纪80年代,是现在环球大多数电信运营商用来提供电话,短信以及互联网数据等服务的协议栈,它将手机运营商和国度经营者!控制的节点连接成关闭网络,引导移动流量从手机信号塔通向互联网。数以千计的公司拥有SS7访问权,也可以将访问权共享给第三方使用.

研究职员通过这样方案,拿到用户的账户信息就可以收发后续的信息了。对于之前的加密信息,还是无能为力。

说这些,只是想说在通讯层面,端到端加密是安全的,安司密信是安全的。

那账户安全呢?安司密信也已经做了充实的防备机制:密信账户密码 + 蓝牙盾认证葆护,固然也可以选择密信账户密码 + 全网同步的 App !锁(telegram的App锁是local lock);在当地安全,也就是别人拿到你的手机的环境下,没有安全口令,也无法察看信息。

总之端到端现在是安全的。

更多的关于安司密信的信息参加交流群。

本文网址: http://www.1cm8858.com/d/2020102253038_90_3033364156/home