Русский
Русский
English
Статистика
Реклама

Темно-серая зона экосистемы Telegram

В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:

  1. свободный наркотрафик;
  2. открытое пиратство;
  3. удручающая bug bounty.

О своём опыте вы можете поделиться в комментариях к статье.

Свободный наркотрафик


В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи FakeGPSLocation). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО подпортили репутацию самого мессенджера: повсюду создали наркогеографию.

Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а так же пожаловался волонтерам ТП в ожидании расстрела, но расстрела не последовало, никто не удосужился перезарядить винтовку, уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало.
image
Этот процитированный отрывок выше из моей конкурсной работы 2019 года.

Со времен видимой и невидимой борьбы прошло ни много ни мало времени 1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой блицкриг: сократительный огонь по беззаконниками.

Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram.


декабрь 2020 год.

Подобная политика Telegram распространяется не только на наркотрафик, но и на другие сомнительные услуги:

Проституция


Перепродажа персональных данных


Фальшивки



Открытое пиратство


В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на подобное использование и распространение.
Вчера на Хабре вышла по этому поводу новость
Европейская комиссияопубликовалановый список ресурсов, которые способствуют пиратству и могут получать от него выгоду. Он включает ресурсы, расположенные за пределами ЕС. Впервые в отчете фигурируют Telegram и Вконтакте.

Из самого отчета, перевод.
А) Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorit per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте.
Б) Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях


Правда?
Пример, злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq



Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я их пингую, но безрезультатно.
Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например, Gitlab проверил факты и удалил не только пиратские материалы за +- 48 часов, но и заблокировал учетку мошенника (теперь) без возможности восстановления.

Удручающая bug bounty


Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находил в экосистеме Telegram баги и фичи.
Для наглядности сравним описание программ bug bounty Telegram с каким-нибудь open source проектом, например, Veracrypt.

hackerone.com/telegram?type=team

Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам сколько, за что и в какой валюте. Описание всей программы bug bounty за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg.


hackerone.com/ibb-veracrypt?type=team

Вы также можете сравнить программу bug bounty Telegram с другими поощряющимися программами и убедиться сами в том, что первую составляли по эксцентричному принципу.

О баге


Пример недавнего бага, который я зарепортил на security@telegram.org,
пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на жульничество со стороны Telegram, а не на уязвимость.

Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) удаленному контенту в сети Telegram.

Кейс: для примера возьмем канал на котором регулярно появляется пиратский контент. Вручную найдем такую плашку, которую оставляет Telegram удаляя этот самый контент.


This message couldn't be displayed on your device due to copyright infringement.
t.me/freedomf0x/6842

Данная плашка (через инструмент: поиск по каналу не ищется), это такая своеобразная защита двух коней от мессенджера. Плашка означает, что на этом месте находился вредоносный контент. Через app удаленный контент не доступен.
Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на файлы и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться тот самый пиратский контент.
Подробный пример кейса на видео ниже.


Почему же это больше похоже на жульничество? Я думаю, что Telegram в курсе всей этой вакханалии, положение вещей на данный момент времени руководство просто устраивает: Ну как бы мы защитили контент, ведь не каждый пользуется Desktop версией через которую удаленный контент вытягивается без каких-либо проблем.

Или вот другой пример.
Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать это (переиграть систему): добавить бота в свой приватный чат и дать разрешение администратора, после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом.


Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений.

Вывод


За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, который борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду сомнительных услуг на своих мощностях.
Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают.
Источник: habr.com
К списку статей
Опубликовано: 16.12.2020 18:10:53
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Информационная безопасность

Мессенджеры

Законодательство в it

Социальные сети и сообщества

Telegram

Bug

Законодательство

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru