whatsapp使用指南

whatsapp安卓版、Telegram聊天文件可被黑客篡改

-telegram接收whatsapp -whatsapp -群组 -媒体文件

telegram接收whatsapp

Telegram 是一款 开源 且跨平台的 IM 工具(类似 Whatsapp、Messenger、微信),是我用过全部同类软件中用户体验最好的一个,同时我也是 Telegram 重度用户和开发者。固然,这么好用的工具在天朝是难以访问的。

Telegram 首创人 Pavel Durov 被称为“俄罗斯的扎克伯格”,由于他曾创建了俄罗斯最受欢迎的交际网站 VKontakte。Telegram 完全由私家拥有,没有其他股东和投资人,并号称永久不会出售。

2013 年,Facebook 、 Skype 、微软、苹果公司和雅虎被曝参!与美国国度安全局实行的“棱镜”项目,引起一片哗然;2014 年,在 Facebook 公布收购 Whatsapp 后的 5 天内,Telegram 增长了 800 万用户,许多发达国度的用户更体贴他们的隐私安全;而在中国,有人以为 “任何中国产通讯工具都是绝对不安全的” 。与这些相比,Telegram 背后并没有巨头站队,公司注册于德国柏林,非常注意隐私。

国内大多数用户对个人隐私的重视程度还远远不够,许多人不体贴自己的授权被用去做什么,也不在意 APP 中的隐私政策声明。然而,注意隐私也并不肯定意味着要像 编程随想 那样“战战兢兢”地上网。在我看来,以后可怕的不再是个人信息的泄漏,而是 用户行为已经被猜测出来 ,当科技的发展导致人工智能的提议可以或许影响人的决议时,尤其是这些 AI 背后都由大公司掌控,就不知是该欣喜还是恐慌了。

Telegram 的基本功能譬如群组、Channel、UI 等方面就不介绍了,使用过的人会很轻易感觉到,我将介绍一些真正感动我的地方。

Telegram 的加密通讯

加密通讯,是 Telegram 主打的功能之一。

Telegram 团队使用自己计划的加密协议 MTProto,并以 30 万美金的高价 夸奖 漏洞的提交者。

你可以对其他用户发起一对一的加密聊天,这是端到端加密的,可以设置每条消息的有用时间(有点像 Snapchat)。同时可以设置一段时间内没有活动记载主动删除账户,也可以主动 deactivate 。

假如不用 Telegram 的 Secret Chat 功能,默认的普通聊天是不被加密的。这也是一些评测机构以为 Telegram 还不够安全的缘故之一。

故意思的是,由于 Telegram 安全性备受瞩目,吸引了大量 可怕分子 的聚集,Telegram 团队也不得不对这些频道和群组加以监控和查封。

特性与细节

轻量

在 iOS 平台上,Telegram 的安装包是 39.8 MB,而 QQ、微信分别是 131 MB 和 110 MB。

使用一段时间后,在我的手机中, Telegram 占据空间依然是 40 MB 左右,而 QQ 和微信到达了可怕的 3 GB。

及时

在 Telegram 中,只要你知道对方的用户名,就可以向其发起会话,而不需要添加好友。

这在许多景象上提高了用户体验与沟通服从,到达真正的“即时通讯”。

全终端同步

Telegram 永久不会主动删除你的聊天记载,全部内容都市在全平台同步。

以是我会置顶一个和自己聊天的会话,当想从手机向电脑上传一些图片、文件、链接时,就会发给自己,在电脑上打开 Telegram 即可吸收。最重要的是可以传输 无损图片

一个细节

当用户在电脑上有未编辑好的消息,假如有急事需要脱离电脑旁(譬如上茅厕)怎么办?

Telegram 告诉你什么才是真正的“即时通讯”。

你会看到,聊天框未发送的消息,在其他平台进入时完全同步过来了,甚至光标的位置都千篇一律。也就是说你可以在如厕时继续编辑适才电脑上的消息。

Telegram 的另有许多感人的细节,值得自己去探索。接下来我介绍一个“大杀器”,那就是 Telegram 的聊天机器人平台。

机器人 Bot

Telegram 在 2015 年 6 月公布了自己的 机器人平台(Telegram Bot Platform) ,开发者可以使用官方 API 自定义属于自己的机器人,完成林林总总的功能。

Bot 的机制表现了 Telegram 开放的特性,大大丰富了 Telegram 的用法。好比你可以使用 bot ssh 登录到 VPS 上;通过 bot 来 RSS 订阅新消息或博客,发到群组里;还可以下载 YouTube 的视频等等。这些 bot 多数是开源的,以是假如有安全漏洞的担心的话,你可以将其搭建在自己的 VPS 上。

有的开发者以为, IRC 的定制性更强,但我以为 Telegram Bot 机制已经充足友爱了,尤其是相比国内 IM 工具而言。绝大多数需求都可以通过定制 Bot 来满意。


Telegram Bot 商店

LibreTaxi

LibreTaxi 是我在 HackerNews 上发现的一个很风趣的项目,它使用 Telegram bot 完成了打车的使命,让司机和乘客直接联系,协商定价,旨在代替 Uber/Lyft 等第三方平台。我还为这个项目贡献了普通话的翻译。

GroupHub

GroupHub_bot 是我开发的机器人,也是我的第一个开源项目(实在其时是新学习了 Go,然后拿来练手)。它实在很easy,只有几十行,完成了群组收录的功能。

假如你方才参加 Telegram,那么你可以使用这个机器人来寻找你感爱好的圈子,参加此中与种种 Geek、大神讨论分享。

假如你是群组的拥有者,想让你的群组被更多人知道,你也可以向我提交群组链接,我会收录到机器人当中。

故意思的是,当我在 GitHub 上公布这个项目之后,还收到了外国人的“侵权”通知,固然这是无稽之谈:

ehForwarderBot

ehForwarderBot 可以或许将微信和 Telegram 连接在一起,你可以在 Telegram 上收发微信消息。同时,你还可以自己贡献代码,让它支持更多平台。


网上有人说:

制止我用Telegram最大的仇人就是我的小伙伴们···

实在在国内来说 Telegram 还算小众,但它的使用者大多数是 Geek,和他们交流能学习到不少工具,由于 GFW 的存在就已经过滤了一部分用户了。综合来看利是大于弊的。

创建自己的 Bot

创建 Bot 非常简单,只要去找机器人老爹 @BotFather 创建,你会得到一串 Token,这将是 Bot 的唯一标识,同时也不能泄漏出去。

之后你可以使用嘻歡的语言完成开发,GitHub 上许多开发者都对原生 API 进行了封装,好比 Python 的 python-telegram-bot 和 Golang 的 telebot 。


本文首发于个人博客 Telegram--真正定义即时通讯 | Zhao Li

相信大家也关注了 WhatsApp 更新隐私政策后引起环球用户“大出走”的话题。对于新政策存隐忧,想要出走使用 Signal 或 Telegram 等即时通讯 APP ,该怎么选?以下功能、安全性和用户数据收集三大要素大比拼,可助你做出选择。

WhatsApp whatsapp telegram signal vs comparison whatsapp - WhatsApp / Signal / Telegram 该怎么选? 功能
  1. 进行语音和视频通话、发送文件,媒体,联系人以及位置具体信息。
  2. 媒体传送不可超越16MB / 文件档案不可超越 100MB
  3. 讯息消散功能
  4. 支持高达256人以上的群组
  5. 视频通话只限8人
  6. 即时动态分享
  7. 支持 WhatsApp Web 网页界面
安全性

使用端到端加密方法(E2E encryption),意味着消息在出发点被加密,而且仅在到达吸收方后才被解密。这样可确保第三方无法在发送方和吸收方之间拦截和察看资讯。但是 WhatsApp 并没有对消息元数据进行加密。

用户数据收集
    装备信息 广告数据 购置历史 大略位置 电话号码 电子邮件地点 联系人 性能和诊断数据 其他种种与用户相关的内容
Signal #FunFact: Signal 首创人正是已被脸面书收购的 WhatsApp 首创人。 whatsapp telegram signal vs comparison signal - WhatsApp / Signal / Telegram 该怎么选? 功能
  1. 进行语音和视频通话、发送文件,媒体,联系人以及位置具体信息。
  2. 图片传送不可超越6MB / 视频、语音以及文件档案不超越 100MB
  3. 讯息消散功能 (可发一次性可见图像)
  4. “Note to Self” 功能 (可自己发媒体文件给自己)
  5. 支持高达1000人以上的群组
  6. 视频通话只限5人
  7. 不设有云端备份
  8. 备有Signal桌面软件
安全性

每条通过 Signal 服务器的通讯都使用端到端加密方法(E2E encryption)。Signal 也对消息元数据进行加密,更进一步拦阻外部拦截有关消息的信息(包括发送的时间和所在)。不但如此,Signal 还容许用户从其服务器通话,充当一种虚拟专用网络(VPN),并确保高度的隐私。别的,传送方也可设定制止收件人屏幕截图。

用户数据收集
  • 电话号码
  • Telegram whatsapp telegram signal vs comparison telegram - WhatsApp / Signal / Telegram 该怎么选? 功能
    1. 进行语音和视频通话、发送文件,媒体,联系人以及位置具体信息。
    2. 媒体和文件档案发送可达 2GB
    3. 讯息消散功能
    4. 支持高达200,000人以上的群组 ( 可设定单向传送信息,只有群组管理员可传送讯息)
    5. 备有多项互动功能包括投票、问答和游戏
    6. 备有Telegram桌面软件
    7. 全部内容存档云端
    安全性

    Telegram 所使用的是安全性较低的客户端-服务器加密(Client-Server encryption),这意味着发送的消息在发送到吸收者前,将在服务器中解密后再重新加密。理论上,Telegram 是可打仗传送的内容,但官方也诉称有关传送内容是受到法律系统葆护。

    用户数据收集
    1. 电话号码
    2. 联系人资料
    3. 用户ID

    Source: mashable.com


    更多科技资讯:

    由于安卓操作系统容许应用访问外部存储中的文件,用户通过 WhatsApp 和 Telegram 消息应用传输的媒体文件可被黑客窜改。

    赛门铁克告诫:由于安卓操作系统容许应用访问外部存储中的文件,用户通过 WhatsApp 和 Telegram 消息应用传输的媒体文件可被黑客窜改。

    安卓应用可在装备内部或外部存储中存储文件和数据。内部存储中的文件只可由其相关应用访问,以是谷歌提议开发者用内部存储存放不应被用户或其他应用访问的数据。与之相对,外部存储中的文件用户和其他应用均可察看和修改。

    赛门铁克的研究职员介绍了这种名为 “媒体文件挟制” (Media File Jacking) 的打击方法:WhatsApp 和 Telegram 收发文件时在写入磁盘和加载到应用用户界面之间存在时间差,具有外部存储写权限的安卓应用便可趁此间隙快速修改文件。

    该打击对保持默认设置的 WhatsApp 和 勾选了 “保存到图库” 选项的 Telegram 有用。

    恶意应用可在后台运行,监视目的消息应用的文件吸收行动,伺机操作图片、发票、音频等文件。赛门铁克称,图片窜改可以只是搞搞开玩笑,但也可以用于打单。

    发票窜改 则结果严峻得多。打击者可以编程换掉文件中的银行账号信息,让受害者将钱打到自己控制的账户中而不是原始发票中写的账户。

    客户收到预期的发票,却不知道此中账户信息已被窜改。而等供给商常期收不到货款而来函来电查询时,资金早已不见踪影了。更糟的是,发票窜改打击可以大范围睁开,找寻任何可被窜改的发票,广泛影响使用 WhatsApp 等即时通讯 (IM) 应用实行业务的受害者。

    窜改音频消息 也可对企业造成严峻伤害。在赛门铁克描述的场景中,某公司 CEO 用 WhatsApp 给 CFO 发送了一段音频消息,要求更新董事会会议上要用的幻灯片。打击者使用声音重修技能更换掉原始音频,改成 CEO 要求向打击者控制下的银行账户转账的语音消息。

    至于 Telegram 的应用场景,赛门铁克称,“媒体文件挟制” 打击可用于在可信新消息机构的官方 Telegram 频道中插播假消息。打击者可以将新消息机构推送的正当内容更换成自己的虚伪信息,再出现在受害者的手机上。

    赛门铁克演示的是针对 WhatsApp 和 Telegram 的打击,但业界此前已知悉了与安卓外部存储相关的风险。去年 Check Point 的研究职员就披露过一种非常相似的技能:安卓装备上的恶意软件可以用经心结构的文件覆盖掉正当!文件以引发崩溃(也可导致提权实行代码),还可以挟制应用的更新历程来安装更多恶意软件。Check Point 将之称为 “盘中人” (man-in-the-disk) 打击

    赛门铁克已向 WhatsApp 和 Telegram 陈诉了自己的发现。WhatsApp 以为该问题应由谷歌解决,并将寻求评述的媒体引向了谷歌即将推出的 Android Q。Telegram 对此事不予置评。

    Android Q 将引入名为 Scoped Storage 的隐私功能,用以改变应用访问安卓装备外部存储的方法。赛门铁克称,Scoped Storage 大概会缓解 “媒体文件挟制” 打击,但由于应用开发者还需要一点时间顺应新功能,这种改变大概不会那么快发生。并且,Android Q 的广泛应用也需要时间推开,而有些装备是不会更新自己的操作系统的。

    赛门铁克以为,WhatsApp 和 Telegram 之类消息应用的开发者应接纳棤施防备潜在打击,好比在加载前先验证文件完备性、尽大概在内部存储中存放文件,以及像加密文本消息一样加密媒体文件。

    赛门铁克还开发了演示图片和发票怎样被窜改的观点验证 (PoC) 漏洞使用程序。该公司公布了视频展示打击者怎样操纵这些种类的文件,并附上了录音文件窜改方法的演示。

    赛门铁克关于 “媒体文件挟制” 打击的博客文章:

    https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media

    Check Point “盘中人”:

    https://research.checkpoint.com/androids-man-in-the-disk/

    Android Q Scoped Storage:

    https://developer.android.com/preview/privacy/scoped-storage

    声明:本文来自安全牛,版权归作者全部。文章内容仅代表作者独立看法,不代表安全内参态度,转载目标在于通报更多信息。如有侵权,请联系 anquanneican@163.com。

    本文网址: http://www.5bufan.com/p/2021119195829_7066_2312573866/home