首页

最近又双叒在 L 站看到了一篇文章说因为用 tg 而被叫去喝茶问候并查信息的文章 https://linux.do/t/topic/880808

很多人还不明白这是怎么做到的,所以我觉得有必要发一篇文章来详细解释一下原理😇

让各位佬友有一个清晰的认知

  1. 他能知道你 tg 账号的手机号?
  2. 他能知道你加了某个群聊?
  3. 他还能知道你发了什么消息?
  4. 用国外不实名的 sim,esim 手机号注册也可以查出来你的信息?

在此我将回答上面的所有问题,并告诉你实现的原理,让你知道 telegram 在群聊上的设计到底有多不安全!处处都是元数据泄露!🤗(私聊目前还好)

首先回答 1 和 3 问题

  1. 他能知道你 tg 账号的手机号?
  2. 他还能知道你发了什么消息?

Screenshot_20250819114958

不知道你们有没有看到过上面的这个信息?就是莫名其妙收到一个人新加入电报的消息,并且这个人的名字自己还认识而且点进去还有手机号显示,这其实是手机通讯录搞的鬼!
来看看一篇文章通过固定 ID 定位 TG 帐号以及 + 86 注册 TG 的危害 – Telegraph

Screenshot_20250819123423

上图是文章中的一段话
提到的是通讯录泄露手机号问题,可能有人不太理解这是什么意思?认为说不允许你的 tg 读取通讯录就可以了
实际上不是这样的,你不允许 tg 读取通讯录只不过是让你无法知道别人新注册的 tg 账号的对应电话号码而已,而别人的 tg 一旦授予了这个权限,并且他的通讯录中有你的电话,那么它照样能够读取到你新注册的 tg 账号的手机号码 (注意,这里需要新注册的,如果一个账号已经注册过 tg 账号,你导入他的通讯录的话也是看不到他的信息的)

也就是说如果有人 10 年前的时候在通讯录里面导入了全国的电话号码,那么他在接下来 10 年内就能陆续接收到新注册人的 tg 账号的消息 (因为这个号码大概率在那份全国通讯录中) 然后对照一下通讯录中的手机号码和名字信息立马知道这个账号是谁:😁:

Screenshot_20250819125437

然后就可以通过电报唯一 ID 进行关联了,同时也回答了第 3 个问题,就是爬取群聊中每个人的聊天记录然后和唯一 ID 进行关联,形成一个巨庞大的数据库记录每一个人的 ID 和对应的聊天记录以及对应的手机号信息

好了,接下来再来回答第 2 个问题吧
2. 他能知道你加了某个群聊?
这个很简单,相信我不说都很多人知道,你只需要随便在一个群聊中点开一个陌生人的主页,你就会看到一个共同群聊这个东西,然后就可以记录信息了

Screenshot_20250819140437

现在 123 的问题全部都有实现方法,你还会觉得这条消息是夸大其谈吗?😂

Screenshot_20250819125918

先通过通讯录权限获取新注册的电报账号的手机号,再关联到唯一 ID 上,然后通过共同群聊这个东西来记录你加入了什么群,接着再通过唯一 ID 这个东西收集你发表的言论,一旦你这个 ID 的账号出了什么问题,就反推出你的手机号,然后来找你🤓

这相当于彩虹表攻击,只要穷举出所有的 + 86 手机号,放到通讯录,然后给予 tg 读取通讯录的权限,即可获取新注册 tg 的唯一 id 和手机号的对应关系。只要被获取了,那以后再换绑也没用了,因为 tg 唯一 id 不会变。在公共群中的消息都有 tg 的 id,而手机号是实名,那相当于 tg 就是实名。

至此你在 telegram 上面的账号信息本身,你在群聊中的发言,你加入的群。全部全部都可以被记录

telegram 到处都是元数据信息,群聊和账号信息没有一点安全可言😂

好啦,最后再回答一下第 4 个问题吧
为什么用国外非实名的 sim 或 esim 也依然可以被查出来你的一些真实信息?
最主要的原因是因为基站短信这个东西从本质上来说就不安全

  1. 基站运营商可以知道短信的内容,你和发短信的服务商并没有建立加密,而是和基站运营商建立加密关系,所以基站运营商可以解密到原始的短信数据
  2. 和基站交互时 (收发短信) 基站可以知道手机的唯一 IMEI 码这个信息

你用国外的 sim,esim 手机号接收验证码需要和基站交互,他可以看到这个号码是注册电报的,虽然这不足以推导出对应账号的电报账号,但是他可以通过前面提到了通讯录权限来知道这个国外手机号对应的真实电报账号
接下来如果你这个电报账号出现风险的话,可以通过基站里面记录的 IMEI 信息来查询出这个国外手机号码对应的实体手机是哪一个?
查出对应的手机的话后有两条路线可走,一条是直接基站通过查询这个 IMEI 手机还用过哪些其他手机号码,另一条是联系手机厂商来查询一下这个 IMEI 目前的手机是哪个人购买的,两条路线都可以查出你的信息😊

最后总结一下,如果你真想使用电报且保证安全的话,那么建议你使用虚拟号码 voip 比如 Google voice,Tello 等来注册账号。因为这些虚拟号码他们不走基站短信,而是走网络短信的形式,网络短信的话就基本是 https 加密了,这种加密下除了你和网站服务商,没有中间人知道短信的信息,况且 voip 也不会记录 IMEI 这种东西

其实吧不仅仅是 telegram 不安全,在我看来 WhatsApp,signal 这些中心化平台且需要手机号的东西也是很不安全
网上人们说的 telegram 安全也仅仅指的是在私聊上比国内社交软件安全那么一点而已😂

什么,你问我最安全的聊天软件是什么?那当然是 simplex
一个连身份唯一 ID 都没有,且不绑定任何信息,强制端到端加密,可选 tor 网络混淆 ip 地址,抗量子破解的软件

总结:就各种聊天软件在各方面的安全性,telegram 确实是垫底的安全,甚至当不起加密聊天软件之名,也就名声大罢了,世界上没有密不透风的墙,小虾米就安安心心别踩线

更新于

请我喝[茶]~( ̄▽ ̄)~*

若梦依然 微信支付

微信支付

若梦依然 支付宝

支付宝

若梦依然 贝宝

贝宝