23 jun 2017

Cómo clonar cuentas de @Telegram

Alvaro Javier, Mateo Martínez y Guillermo W. de Intelligence HUB han publicado un documento mostrando como clonar una cuenta de Telegram, accediendo a todos los usuarios y mensajes sin ningún tipo de advertencia por parte de esta aplicación de mensajería.
El Sistema de mensajería Telegram permite múltiples instancias de chat en diferentes dispositivos móviles. Esto podría ser definido como una "funcionalidad" pero para nosotros es una falla grave de seguridad que compromete la privacidad de los usuarios de la plataforma. Permite a un potencial atacante acceder a los contactos y funcionalidades completas de Telegram como si fuera el usuario víctima.

Una vez realizada la clonación, no valida el segundo factor de autenticación (además de que puede ser deshabilitado) y si existía alguna clave de acceso tampoco es necesaria en el clon. Funciona sobre cualquier dispositivo móvil, independientemente del hardware. No hay límites geográficos para este tipo de ataques.

Los investigadores recomiendan a Telegram deshabilitar esta funcionalidad para proteger la privacidad de sus usuarios y si bien ya se han contactado con la empresa, hasta ahora no han tenido respuesta.

El informe se puede descargar en inglés y español.

Suscríbete a nuestro Boletín

2 comentarios:

  1. "Para clonar el Sistema de mensajería Telegram, se debe poder interceptar el Código enviado desde los servidores de Telegram hacia la víctima ya sea mediante técnicas de sniffing o a través de ingeniería social. "

    Si interceptas el segundo factor de autenticación puedes acceder a cualquier servicio de Internet. Da igual Telegram que Facebook Messenger o un foro cualquiera. Salvo aquellos que están anclados a un número de teléfono (Whatsapp o similiar) donde también deberías clonar la SIM (o falsear la información que da el terminal a la aplicación) .

    ResponderBorrar
  2. Repetí los pasos del documento original y la única forma de no obtener notificaciónalguna es si al momento de "clonar" la cuenta, no tenía ninguna otra sesión de TG abierta.
    Para mí, ese experimento no es mas que iniciar sesión en otro dispositivo.
    La única recomendación que le haría a Telegram es que debería enviarte un e-mail (al activar el doble factor de autenticación te solicita uno) cuando inicias sesión en un dispositivo nuevo.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!