Дисклеймер! Буквально на этих выходных Telega полностью отключила функцию отправки SMS, и случилось это почти сразу после наведенного шума вокруг них.
Тем не менее, первые дни Telega продолжала слать SMS в обход запрета, и статью мы решили все же опубликовать.

Привет, Хабр! На днях мы писали новость о блокировке SMS, отправляемых Telegram. Но недавно мы заметили очень интересную несостыковку, что в Telega (печально известной) смс все также доходят. Мы начали свое небольшое расследование, а в этой статье разберемся, как же так вышло.

Кто такая ваша «Telega» и при чём здесь «Даль»?

Немного контекста - Telega это неофициальный клиент telegram, который подозревается в сотрудничестве с VK и других не очень хороших вещах. Ребята из сообщества bruhcollective разбирали его подробнее.

Возвращаемся к нашей статье.
Сразу после появления информации о волшебном «обходе» мы кинулись проверять, работает ли это. Как оказалось, Telega действительно позволяет посылать SMS-коды на номера, ранее не зарегистрированные в Telegram, а также на любые аккаунты где отсутствует почта для входа.

При этом SMS, приходящие при запросе через Telega, отправлялись от номера «AO_Dal». Немного поизучав, оказалось, что «Даль» - это прошлое название клиента.

Как удалось обойти ограничения СМС

Порывшись в приложении мы обнаружили, что код из Telega отправляется посредством следующих методов API.

1) Получение phone_code_hash через auth.sendCode

r = client(functions.auth.SendCodeRequest(phone_number=<Телефон>, api_id=,api_hash=, settings=types.CodeSettings(allow_firebase=True, allow_app_hash=True)))

2) Отправка кода через Google Firebase

client(functions.auth.RequestFirebaseSmsRequest(phone_number=<Телефон>,phone_code_hash=r.phone_code_hash))

Понимаем, у вас много вопросов. У нас тоже.

Как это работает? Ну-у
У Telegram, как оказывается, есть интеграция Google Firebase для отсылки SMS-сообщений, и «Даль» воспользовался именно ей.

Firebase Phone Authentication (SMS 2FA) — это встроенный API от Google для двухфакторной аутентификации через SMS. Он позволяет пользователям входить в приложение или подтверждать действия с помощью кода, отправленного на номер телефона.
Стоимость одного SMS для РФ составляет порядка 24 рублей. Такое вот меценатство, получается.

Но здесь начинаются странности...

Во-первых, НИ НА ОДИН НОМЕР помимо РФ (даже на РБ, Казахстан и другие страны СНГ) Telega не отправит вам sms сообщение, а также как и другие сторонние клиенты предложит вам привязать почту и получить код через неё (сейчас я писал именно про вход в приложение)

Но, если вы решили зарегистрироваться, то метод с смс сообщением будет работать на любом номере.

Напоминаем: после шума SMS-сообщения перестали отправляться — и не только в России, но и на номера других стран. Это показывает, что способ, скорее всего, отключил сам Telega, а не операторы связи. Мы проверили: из официального приложения сообщения за границу доходят, а из Telega — нет.

Во-вторых, метод Firebase, через который Telega получает SMS, по правилам Телеграма может использоваться исключительно официальными приложениями.

И конечно, по этому же ToS, ни один другой клиент не может отсылать смс для регистрации аккаунта или его входа.

При всем этом, Telega не маскируется под Telegram и для генерации кода использует свой собственный app_id. То есть, по сути, проводит авторизацию точно так же, как и остальные клиенты. За исключением того, что они не имеют права отправлять SMS ¯\(ツ)/¯

Ладно. Мы все же решили проверить, можно ли провернуть то же самое, что и Telega, но со своим приложением. Зарегистрировали приложение в Telegram, создали себе Firebase, зашли в нем настройки SMS 2FA и увидели это:

Да, вы всё правильно поняли. Google FCM не позволяет менять шаблон отправляемого СМС сообщения, и на картинке выше видно, какое оно должно быть. Вспоминаем то, что отправляет нам «Даль»..

Здесь мы встали в ступор. Либо же FCM на самом деле позволяет редактировать шаблон сообщения, либо же здесь задействована другая, закрытая интеграция и FCM здесь вообще не причем. Так или иначе, случай беспрецедентный, и возможно здесь никак не получилось обойтись без сотрудничества с Telegram.

Если мы здесь не правы - просим в комментарии, поделитесь вашим мнением, как это на самом деле реализовано ?

А давайте почитаем пользовательское соглашение Телеги

Конечно, после таких открытий, стало ещё интереснее читать, что написано в пользовательском соглашении клиента, который на эксклюзивных правах может отсылать SMS для регистрации.

Открываем соглашение и видим следующее:

4.5 Telega вправе в одностороннем порядке осуществлять автоматическую подписку Пользователя на официальный канал Telega в Мессенджере - https://t.me/канал_telega и на официальный бот авторизации - https://t.me/бот_от_telega

Вспоминаем Telegram ToS

1.4. It is forbidden to interfere with the basic functionality of Telegram. This includes but is not limited to: making actions on behalf of the user without the user's knowledge and consent, preventing self-destructing content from disappearing, preventing last seen and online statuses from being displayed correctly, tampering with the 'read' statuses of messages (e.g. implementing a 'ghost mode'), preventing typing statuses from being sent/displayed, etc.

Ага, Телега в обход ToS Telegram автоматически подписывает вас на её канал и запускает бота. Круто.

Идем дальше.

1.3. As a client developer, you must make sure that all the basic features of the main Telegram apps function correctly and in an expected way both in your app and when users of your app communicate with other Telegram users. It is forbidden to force users of other Telegram clients to download your app in order to view certain messages and content sent using your app.

Телеграм говорит о том, что запрещено принуждать скачивать свой клиент для использования звонков. А что Telega?
Если позвонить с Telega на официальный клиент, она любезно (опять же в нарушение 1.4 ToS) автоматически отправит вашему контакту сообщение о том, что для звонка нужно скачать их клиент.

Вдобавок, Telega очень любит ваши ПД :)

Маркетинговые предпочтения?? Система аналитики прямо в клиенте?? Сбор информации о географическом местоположении для аналитики??

Сколько уже пунктов было нарушено??

Ну и как вишенка

Кстати говоря, вы можете попросить удалить ваши перс. данные! НО чтобы эти данные удалить, необходимо направить сообщение с указанием данных паспорта.

Бот поддержки кстати на момент создания статьи не работал и уходил в цикличность.

Вспоминаем, что для авторизации в клиенте он автоматически отправляет сообщение боту - и получаем интересную картину.

Потенциально Telega уже собирает данные о 500к+ пользователях. Если допустить, что одновременно собираются и контакты этих пользователей, то объём потенциальной деанонимизации может достигать огромных масштабов. Под «деанонимизацией» здесь понимается связка user_id + номер телефона.

И тем не менее, несмотря на все свои нарушения правил Telegram, «Даль» остается доступен как в официальном Google Play, так и в AppStore. Более того, у ее официального канала в ТГ даже имеется официальная галка.

Приплюсовываем сюда эксклюзивный метод отправки SMS и полностью скупленный Telegram Ads и получаем очень интересную картину :-)

Что об этом думать - решайте сами и делитесь мнением в комментариях.

Мы кстати в нашем Telegram пишем про мошенников, изучаем черный рынок данных и пишем про ИБ, подписывайтесь!
Недавно выкладывали индекс стоимости паспортов на черном рынке за октябрь