Telegram 被曝出重大 bug 官方回应这是 feature
软件工程师 Chu Ka-Cheong 称,目前的 Telegram 存在可泄露用户手机号的重大 bug,该 bug 由香港连登网友发现,可能被政府用于追踪异见人士群组中成员的身份。
他在提供的文档中公布了复现方法:
- 异见人士 A 加入了某公开群组,并设置手机号码为所有人不可见;
- 政府人员 B 在自己的通讯录中加入大量手机号码,若样本足够多则可能包含 A 的号码;
- B 将通讯录同步至 Telegram;
- B 加入同一个公开群组,此时可以看到 A 的手机号码。
测试使用的平台为: iOS 12.4 Telegram 5.10 Android 9 Telegram 5.10(当前的最新版本)
Telegram 官方回应称:目前软件已有阻止大批量添加通讯录的机制(每天最多5个),且如果有人已经将手机号码保存在自己的通讯录里,其本身就能够在任何场合看到该号码,无论对方的隐私设置如何。
按照目前的机制,使用不绑定身份的虚拟号码注册可能是唯一的规避方式,望读者周知,注意安全。