据路透社报道,号称全球最安全的聊天软件 Telegram,在今年早些时候被一群伊朗黑客“攻破”了。
从2013年上线开始,Telegram 就以高级别的通讯加密技术作为吸引用户的主要特性。这种技术的运用可以让用户在任何设备上发布的消息言论躲过可能存在的网络审查。
Telegram 承诺不做广告、不收费,目前靠捐助的资金维持运作。在伊朗、沙特等中东国家和地区,Telegram 作为反监控的沟通工具广受欢迎。
不过 Telegram 的登录过程用到了短信。当已经用手机号注册过 Telegram 的用户,在一台新设备上登录他的账号时,Telegram 的服务器会通过当地的运营商网络向他发送一条含有验证码的短信。验证通过之后,才能继续使用。
而短信的编码方式安全性并不高,很容易被破解。如果黑客通过技术手段劫持了运营商的网络,就很容易获取用户 Telegram 账号的最高权限。
这次伊朗黑客“攻破”Telegram,就是利用了短信发送验证码这个薄弱的环节,获得了十来个伊朗本地账号的使用权限。
借着这些账号,黑客通过程序验证了1500 万个伊朗手机号是否注册了 Telegram。
在 Telegram 的后续回应中,官方承认手机号验证和公开数据收集确实发生过,但否认了被系统性“攻破”这一说法,称黑客获得的信息仅仅是一个手机号是否注册了 Telegram。
Telegram 称,只要用户开启了两步验证,即密码+短信验证码的登录设置,黑客根本不可能破解任何一个人的 Telegram 账号。
