**Telegram 被曝出重大 bug**

By helloword123 at 2019-08-29

Telegram 被曝出重大 bug 官方回应这是 feature

软件工程师 Chu Ka-Cheong 称,目前的 Telegram 存在可泄露用户手机号的重大 bug,该 bug 由香港连登网友发现,可能被政府用于追踪异见人士群组中成员的身份。

他在提供的文档中公布了复现方法:

  1. 异见人士 A 加入了某公开群组,并设置手机号码为所有人不可见;
  2. 政府人员 B 在自己的通讯录中加入大量手机号码,若样本足够多则可能包含 A 的号码;
  3. B 将通讯录同步至 Telegram;
  4. B 加入同一个公开群组,此时可以看到 A 的手机号码。

测试使用的平台为: iOS 12.4 Telegram 5.10 Android 9 Telegram 5.10(当前的最新版本)

Telegram 官方回应称:目前软件已有阻止大批量添加通讯录的机制(每天最多5个),且如果有人已经将手机号码保存在自己的通讯录里,其本身就能够在任何场合看到该号码,无论对方的隐私设置如何。

按照目前的机制,使用不绑定身份的虚拟号码注册可能是唯一的规避方式,望读者周知,注意安全。

telegram, bug


这种所谓的bug早就很多人知道了 但是没有办法,telegram就是要电话号码,为了让更多人用telegram就扩增通讯录 进而危害隐私

Free at 2019-08-30
1

实测用虚拟号注册signal最安全

magnus at 2019-08-30
2

The fix Telegram is working on would allow users to disable matching by phone number. That option represents a balance between making it easy for users to find their contacts and the privacy needs of those who rely on the app for protection against state security agents.

https://www.reuters.com/article/us-hongkong-telegram-exclusive/exclusive-messaging-app-telegram-moves-to-protect-identity-of-hong-kong-protesters-idUSKCN1VK2NI

小二 at 2019-08-31
3

国内人在网络上发言一定要注意隐私,不然真的是很不安全,虽然网上有些教程,但是都深不可测,不明觉厉,小弟不才,掌握一些这方面的知识,想了解的,可以留言,共同增长知识

at 2019-09-12
4

用+86手机注册本来就是危险的,毕竟要收短信。

3QHQ3 at 2019-09-23
5

难保不是毛子故意搞的。

celestialforce at 2019-11-20
6

明明有一堆不需电话注册的开源加密通讯工具,为何一定要用telegram?

  1. Wire: Electron+Javascript
  2. Gajim: Python
  3. RetroShare: C++
  4. Jami: C++
  5. Riot.im: Electron+Javascript
celestialforce at 2019-11-20
7

当然是用虚拟号注册了

goasa at 2019-11-20
8

@celestialforce #8 Discord 值得一用吗?

说我想说的 at 2019-11-20
9

较早前已经放弃使用Telegram了;我一直不太信任需要手机号的应用。

说我想说的 at 2019-11-20
10

@白衣长风 #17 我不太确定Discord 安全性,谨慎。

说我想说的 at 2019-11-20
11

@说我想说的 #14 其实在文明社会里危险性不大的

celestialforce at 2019-11-20
12

@说我想说的 #18 Discord我没有用过。不过它似乎是闭源的,并有腾讯注资。

celestialforce at 2019-11-20
13

https://2049bbs.xyz/t/1891 更新了一下

celestialforce at 2019-11-20
14

@celestialforce #20 确实,但人有时候总想掌控所能掌控的。

说我想说的 at 2019-11-20
15