𝗧𝗚𝗴𝗲𝗲𝗸 ♾ TG极客

2021-07-30 18:49:59 Telegram iOS & Android v7.9.0

支持1000人的视频通话、视频播放速度、视频消息2.0等

● 群组视频通话2.0
群组视频通话现在支持最多1000人，同时音频听众参与人数无上限。
若要开始群组视频通话，需要管理员在群组先创建一个语音聊天，然后参与者打开视频参加群组视频通话。

● 视频播放速度
在媒体播放器中支持调整0.5、1.5、2倍的播放速度。

● 视频信息2.0
在聊天对话中使用更高分辨率的视频信息。
支持点击视频信息以展开；支持后置摄像头录制视频信息时捏住放大；支持在录制视频信息时继续播放音乐。
轻击 "语音信息 "按钮，切换到视频模式，然后按住录制，放开发送。

● 视频和语音时间戳
在视频标题和回复中添加时间戳（如 "0:45"）以自动创建时间戳链接，允许用户从该特定时刻开始播放视频。
如果视频标题中包含时间戳，按住它可以复制链接直接跳转到该时刻。
时间戳链接形式为：消息链接?t=时间戳
举例如 https://t.me/TGgeek/1?t=233

● 改进应用内相机
如果您的设备支持，在拍摄照片或视频时可以切换到0.5或2倍的变焦。按住变焦按钮，可以打开一个更细微控制的变焦轮。

● 带声音的屏幕共享
在1对1的视频通话中分享屏幕，以及小组视频通话。
在任何视频通话中分享屏幕时，都可以播放来自您设备的音频。
在任何视频通话中打开相机时，向左或向右滑动以选择视频源。

● iOS 的更多更新
点击转发菜单中的 "选择"，可以选择多个接收人。
在聊天列表中用两根手指滚动，可以快速选择多个聊天对话进行批量操作，如存档、删除或标记所有已读。
在群组聊天中滚动时，个人头像会跟随信息，所以即便在连续多条的对话中您也会知道每一条信息的发送者。

本次更新详细内容：
https://telegram.org/blog/video-1000

注：点此查看 Telegram 官方发布渠道。

TAG #Telegram #更新
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-29 23:45:19 Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。
每隔几十年，我们对一些重要的社会和科学问题的看法就会发生剧烈变化。在昨天看来还是荒谬的想法，到了今天就可能成为主流观点，而到明天却又可能变成过时的观念。
从人类信仰的历史上来说，“变化”才是唯一不变的。那些在1921年被大多数人认同的观点，在今天来看充其量顶多被认为是古朴典雅的，而在最坏的情况下它们是危险的。所以当下我们的一些坚定看法（或信念）到2121年仍有意义的可能性很小。
事实上，由于这种变化的速度正在加快，我们甚至不需要等待100年。一个很好的例子就是人们在 Covid（新冠病毒）的起源问题上改变主意是如此迅速。
就在一年前，有人说新冠病毒起源于武汉实验室的想法是阴谋论。Facebook、Twitter 和其他社交平台阻止发布有关实验室泄密这一理论的帖子。然而，今天，这一理论正在成为病毒起源的主流科学观点。
这种情况让打击虚假新闻和错误信息变得特别具有挑战性。它们同样会完全地破坏人们对社交媒体中立性的信任，并有损于未来打击虚假信息的努力。
Telegram 从未阻止过讨论实验室泄密理论的帖子，因为我们认为我们的职责不是为用户决定他们应该相信什么。同时，我们认为我们的用户有权通过来自官方科学严谨的共识来了解新冠病毒的情况。这就是我们与19个国家和地区的政府合作的原因，去帮助他们向每一个 Telegram 用户提供有关该流行病的最新信息。
今天，我们呼吁更多的政府加入 Telegram 抗击新冠病毒倡议，以确保世界各地更多的人能够获得拯救生命的极为重要的知识。
在我管理交流平台的20年里，我注意到每次阴谋论被管理人员删除时只会变得更加强烈。审查制度非但没有终止错误的想法，反而常会使其更加难以打击。这也是为什么“传播真相”总是比“进行审查”更为有效的策略。

via. @durov

注：关于本文内谈论的“新冠病毒起源于武汉实验室”，TG极客 @TGgeek 搬运几点调查结果。
1. 中国—世界卫生组织新冠病毒溯源研究联合专家组于2021年2月9日在武汉举行新闻发布会时，世界卫生组织食品安全专家 Peter·Ben·Embarek 表示“我们去武汉病毒所也参观了它的P4实验室，看到了实验室相关的状态，我们认为病毒不可能从那个（武汉）实验室泄漏”。[Source]
2. 世界卫生组织总干事 Tedros Adhanom（谭德塞）在面向联合国成员国代表的发布会上表示“实验室泄漏是最不可能成立的假说，但针对这一点仍然需要开展更多的调查...这份报告是一个非常重要的开始，但并不是结束。我们还没有找到病毒的来源，我们必须继续遵循科学，并千方百计地用尽一切可能的办法”。[Source]

TAG #Telegram
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-29 15:43:56 华为 P50 系列现已发布

7月29日晚19:30华为旗舰新品发布会带来了华为P50系列、华为V98智慧屏等新品。
值得注意的是，全新华为P50系列均不支持5G，其中华为P50只有骁龙888(4G)一个版本，华为P50Pro分为麒麟9000(4G)和骁龙888(4G)两个版本，操作系统均为HarmonyOS 2.0。

TAG #互联网
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-22 16:15:42 Telegram CEO Durov 发文

以下内容由 TG极客 @TGgeek 按照原文翻译，不代表本频道的观点和立场。
包括人权活动家和记者在内，5万人的手机已经成为众多政府监控工具的目标。这些工具可以入侵任何 iOS 和 Android 手机，而且您没有办法保护设备免受入侵。这与您使用哪些 APP 无关，是因为这些系统在更深层次上已经被攻破。
据2013年斯诺登披露的信息，苹果和谷歌都是全球监控计划的一部分，这意味着这些公司不得不实施包括在操作系统中添加后门在内的很多操作。这些后门通常被伪装成安全漏洞，允许美国机构访问世界上任何智能手机上的信息。
这种后门的隐患是，它们并不仅仅属于某一方，而是任何人都可以利用它们。因此，不只是美国安全机构可以入侵 iOS 或 Android 手机，发现这些后门的任何其他组织也可以这样做。不出所料的是，这是一直在发生的事情：一家名为 NSO Group 的以色列公司一直在出售间谍工具的访问权，使第三方能够入侵数以万计的手机。
至少从2018年开始，我就知道我的一个电话号码被列入这种监视工具的潜在目标名单（尽管一个来自 NSO Group 的消息否认了这一点）。就个人而言，我并不担心：自2011年以来，当我还住在俄罗斯时，我已经习惯于假设我所有的手机都被泄露了。那些获得我私人数据的人会彻底失望，因为他们将不得不翻阅数以千计的 Telegram 功能的概念设计和数百万条与产品开发过程有关的信息。但他们不会找到任何重要的信息。
然而，这些监视工具也被用来针对比我更重要的人。例如，它们被用来监控14位国家元首。这些在关键的基础设施和软件中存在的后门给人类带来了巨大的挑战。这就是为什么我一直呼吁世界各国政府开始采取行动，打破苹果和谷歌在智能手机市场的双头垄断，并迫使他们开放封闭的生态系统，以允许更多的竞争。
到目前为止，尽管现在市场垄断增加了成本，也侵犯了数十亿人的隐私和言论自由，但政府官方的行动依然非常缓慢。政府人员自己已经成为监控工具目标，我希望这些消息能促使政治家们改变注意。

via. @durov

注：TG极客 @TGgeek 认为工具是为了简化和方便工作的，就如 DeepL 一样，任何人都可以使用，但是只全靠它翻译全文出来的内容连语句都读不通，那这样的内容发布的意义就不大了。是题外话。

TAG #Telegram
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-19 12:09:04 【通告】Telegram MTProto 加密协议存在漏洞的安全分析

来自伦敦大学和苏黎世联邦理工学院的研究人员对 Telegram MTProto 协议进行了安全分析。经过分析，研究者发现了该协议中的一些密码学弱点，包括从技术上来说微不足道的、容易被利用的漏洞到更高级的、具有理论意义的漏洞。研究人员的工作重点是分析 Telegram MTProto 是否能提供与使用 HTTPS 的网络环境相当的隐私性。
对于大多数用户来说，眼前的风险很低，但这些漏洞突出表明，Telegram没有达到其他广泛部署的加密协议（如TLS）所享有的加密保证。我们向Telegram的开发者提出了一些建议，以便能够提供正式的保证，排除一大类加密攻击，与其他更成熟的加密协议相类似。
研究人员于2021年4月16日向 Telegram 开发团队报告了这些漏洞，并同意于2021年7月16日的公开这些漏洞。

● 漏洞1 重新排列从客户端到服务器的信息
网络攻击者可以将来自客户端的消息重新排序到服务器，此漏洞只能影响发出的信息，而且是在它们被发送之前。比如，这将允许更改消息中“披萨”和“犯罪”的顺序：“我接受披萨，我拒绝犯罪”重新排序后变为“我接受犯罪，我拒绝披萨”（TG极客 @TGgeek 提醒您，该例子具有一定误导性，这里原文仅是想说明该漏洞可以重新排列信息，但其实并无法获取原文本的真实内容，因此重新排序后得到的可能是一段毫无意义的文字）。
Telegram 确认了该漏洞，并在 Android v7.8.1、iOS v7.8.3 和 Telegram Desktop v2.8.8 版本中解决了此问题。

● 漏洞2 对未确认消息的重新发送
攻击者可以检测到客户端或服务器在某些特殊条件下加密了两个特殊消息中的哪一个。特别是，Telegram 对“确认消息”进行了加密，即对先前已收到的“确认消息”进行了编码，但它重新发送未确认消息的方式会泄露此类“确认消息”是否已发送和接收。这种攻击主要具有理论意义，然而，加密协议有望排除此类攻击。
Telegram 确认了该漏洞，并在 Android v7.8.1、iOS v7.8.3 和 Telegram Desktop v2.8.8 版本中解决了此问题。

● 漏洞3 从加密消息中恢复明文
研究人员研究了 Telegram 客户端的代码，发现其中三个（Android、iOS、Desktop）包含的代码，原则上来说允许从加密消息中恢复一些明文。为此，攻击者必须以数百万条消息的数量级向目标发送许多精心设计的消息。这种攻击如果成功执行，可能会破坏 Telegram 消息的机密性。幸运的是，在实践中几乎不可能执行。特别是 Telegram 中的某些元数据是随机选择并保密的，这在很大程度上减轻了它的影响。
然而，这些实现弱点的存在凸显了 MTProto 协议的脆弱性：它要求某些步骤以有问题的顺序完成，这给必须避免意外泄漏的开发人员（包括第三方客户端的开发人员）带来了沉重的负担。表现出这些非理想行为的三个官方 Telegram 客户端证明这是一个高负担。
Telegram 确认了该漏洞，并在6月对所有三个（Android、iOS、Desktop）受影响的客户端发布了修复版本，同时 Telegram 还为提交这些漏洞的研究人员颁发了赏金。

● 漏洞4 服务器端 RSA 解密
通过利用服务器上 RSA 解密的侧信道泄漏，对客户端和服务器之间的初始密钥协商进行“中间人攻击”。这使得攻击者可以冒充服务器与客户联系，从而破坏通信的保密性和完整性。幸运的是，这种攻击是相当难以实施的，也几乎是不可能的，因为它需要在几分钟内向 Telegram 服务器发送数十亿条信息。
Telegram 也举例说明此漏洞的难以实施性，设想你有十亿袋沙子，其中一个袋子比其他袋子少一粒沙子，而你必须找出哪一个（在30分钟或更短时间内），要做到这一点，你可以将任意一个袋子里的沙子倒入一个测量装置，但是在实践中每次你这样做，你都会从袋子里损失超过一粒沙子，并且不可能确定你到底损失了多少。因此，无论测量装置多么精确，你都无法知道哪个袋子是你要找的那个。
此漏洞的意义在于表明，虽然用户需要信任 Telegram 服务器，但这些服务器及其实现的安全性不能被视为理所当然。
Telegram 确认了该漏洞，并实施了一些服务器端的缓解措施，并且在 Android v7.8.1、iOS v7.8.3 和 Telegram Desktop v2.8.8 版本中解决了此问题，支持 RSA-OAEP+ 变体。

研究人员还发出另一个警告，此次漏洞只研究了三个官方 Telegram 客户端（Android、iOS、Desktop），不包括任何第三方客户端。然而，这些第三方客户端也拥有大量用户群体，如果这些第三方客户端的开发人员在使用协议时犯错误，例如分析中的“timing leaks”漏洞，那么 MTProto 协议的脆弱性是一个令人担忧的问题。对 MTProto 的其他代替设计选择会使开发者的任务更加简化。
TG极客 @TGgeek 并未翻译安全分析的全文内容，仅对四个漏洞分析部分简要翻译说明，感兴趣的用户请看安全分析原文了解更多。此外 Telegram 官方也对此次漏洞进行了分析和回应，可以点此查看概述版，具有密码学知识的高级用户可以点此查看专业技术分析。
Telegram 欢迎各位研究人员对 Telegram 的安全性提出任何意见或建议，可以发送邮件至 security@telegram.org 。所有使得代码升级或配置更新的提交内容都有资格获得奖励，奖励范围从100美元到100,000 美元或更多，具体取决于提交内容的性质。

via. mtpsym | MTProto Analysis | MTProto Analysis (Accessible Overview)

注：TG极客 @TGgeek 提醒您，上述漏洞在官方客户端最新版本已经修复，为了确保安全性，请使用旧版本的用户尽快更新 Telegram 官方最新版客户端，点此查看 Telegram 官方发布渠道。

TAG #Telegram #通告
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-15 22:51:24 Telegram iOS & Android v7.8.3

重置两步验证密码和消息发送动画

● 重置两步验证密码
此前 TG极客 @TGgeek 介绍的 Telegram 重置两步验证密码的新方法在此版本正式上线。现在如果您忘记了正确的两步验证原密码，或者您没有设置找回密码的电子邮件，都可以通过"重置申请"的方式进行重置，TG极客 @TGgeek 特别提醒您，该方法需要等待7天才可生效，且任何已经登陆此账号的设备在7日内可以随时取消这一过程。

● 消息发送动画
在 Android 设备上，改进了发送消息的动画。当您输入的文字发送至聊天对话时，会更平滑地变化为消息气泡。

注：点此查看 Telegram 官方发布渠道。

TAG #Telegram #更新
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-12 12:24:05 Telegram 重置两步验证密码的新方法（无需恢复邮件）

Telegram 在 beta 测试版加入了一种重置两步验证密码的新方法，该方法无需恢复邮件，它允许用户通过已经登录的会话重置两步密码。
从 beta 测试版来看，在未设置恢复邮件而想要重置两步验证密码时，Telegram 会提示一个新的方法：若您忘记当前的正确密码，可以发送两步验证密码的重置申请，再等待7天后进行重置；同时，Telegram 会向其他已登录此账号的设备发送重置提醒，告知发送此请求的时间、位置（IP）、设备等信息，并让其选择是否取消该重置申请，若未点击"取消重置申请"则7日后发送重置申请的设备可以进行两步验证密码的重置。
TG极客 @TGgeek 提醒您，目前这项功能处于测试阶段，当前您仍然需要设置恢复邮件才能重置两步密码，否则只能重置账户或者输入正确的原密码。

via. @KeralagramChannel

TAG #Telegram #更新
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-09 08:20:41 【推荐】文献互助平台

在我们共同呼吁的"拯救 Sci-Hub 和开放科学"活动后，现在 Telegram 平台上由热心学子创建的"文献互助平台"正式上线。
为广大学子和科研者提供一个文献互助平台，用于互相交换2020年下半年之后发表的在 Sci-Hub 上无法检索到的文章。

论文互助小助手 @SCIExchangebot
Q&A 及更多详情请点此查看。

via. @records_of_my_daily_life

TAG #推荐 #Bot
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何

2021-07-08 16:48:07 【通告】Unigram 现版本会未加密保存媒体文件 2020年2月，TG极客 @TGgeek 就介绍过 Win10 第三方 Telegram 客户端 Unigram。该客户端在 GitHub 开源，可在 Win10 的微软商店下载，此外其在 Telegram 官网 Apps 页面中作为"非官方客户端"列出，可见也是得到了官方的认可。 近期 TG极客 @TGgeek 又对该软件进行了测试，版本为最新的 Unigram v7.8.6586.0，如图1所示，测试中发现了此版本 Unigram 存在未加密保存… 打开/如何

2021-07-08 16:47:48 【通告】Unigram 现版本会未加密保存媒体文件

2020年2月，TG极客 @TGgeek 就介绍过 Win10 第三方 Telegram 客户端 Unigram。该客户端在 GitHub 开源，可在 Win10 的微软商店下载，此外其在 Telegram 官网 Apps 页面中作为"非官方客户端"列出，可见也是得到了官方的认可。

近期 TG极客 @TGgeek 又对该软件进行了测试，版本为最新的 Unigram v7.8.6586.0，如图1所示，测试中发现了此版本 Unigram 存在未加密保存媒体文件的问题（如图片、视频等），可能会导致泄露隐私或其他意料之外的情况发生。

TG极客 @TGgeek 此次使用 PNG 图片格式测试，如图2所示，分别就群组/频道/普通私聊/加密私聊等情况进行测试，实测是否会进行未加密保存在本机以及在何种情况下会删除保存的文件。下方仅列出图片格式保存的位置，其他媒体文件（如视频、GIF、文件等）的测试同理，请自行测试。

● 群组/频道
未加密保存，位置：
C:\Users\**[用户名]**\AppData\Local\Packages\**[数字字母代码]**.UnigramPreview_**[数字字母代码]**\LocalState\0\photos

● 普通私聊
未加密保存，如图3所示，位置：
C:\Users\**[用户名]**\AppData\Local\Packages\**[数字字母代码]**.UnigramPreview_**[数字字母代码]**\LocalState\0\photos

● 加密私聊（聊天界面无法截图）
未加密保存，如图4所示，位置：
C:\Users\**[用户名]**\AppData\Local\Packages\**[数字字母代码]**.UnigramPreview_**[数字字母代码]**\LocalState\0\secret

● 自毁消息
不会保存。

TG极客 @TGgeek 对于加密私聊（Secret Chat）进行了进一步测试。
1. 在聊天列表右键"Clean history（清除历史记录）"时，不会删除本地保存的未加密图片；
2. 在聊天列表右键"Delete（删除对话）"时，不会删除本地保存的未加密图片；
3. 在开启"Passcode Lock（本地密码）"并锁定 Unigram 后，不会删除本地保存的未加密图片；
4. 在关闭并终止运行 Unigram 后，不会删除本地保存的未加密图片（这里的"终止运行"指在 Win10 Settings > Apps > Unigram > Advanced Options 中选择 Terminate 该软件）；
5. 在重置 Unigram 后，会删除本地保存的未加密图片，也会删除所有的文件和配置，Unigram 需要重新设置代理、重新登录账号、重新设置软件等（这里的"重置"指在 Win10 Settings > Apps > Unigram > Advanced Options 中选择 Reset 该软件）；

注：这里谈论的区别是 Telegram Desktop 官方原版使用右键保存会出现在下载目录，而其他本地消息似乎是 sqlite 保存，无法直接打开查看；而 Unigram 会自动都以原格式储存，在上述的目录可以直接查看。

TAG #Telegram #通告
TG极客 @TGgeek
大学联盟 @UniversityAlliance 打开/如何