Двухфакторка и кодовый пароль защищают от входа в аккаунт через интерфейс. Graphite и Pegasus работают иначе, они работают через Zero-click уязвимости в операционной системе. Это дыры в iMessage, WebRTC, памяти ядра iOS/Android, которые эксплуатируются без единого действия со стороны жертвы. Просто входящий пакет данных и на устройстве исполняется произвольный код.

Что делает 2FA ничего не делает в этом случае. Абсолютно ничего. Потому что взламывается не аккаунт а операционная система. После чего читается уже расшифрованный контент прямо из памяти приложения, до того как он куда-то ушёл зашифрованным.

Graphite это SaaS-продукт для государственных клиентов. Там интерфейс с кнопкой "Intercept" и полем для ввода номера телефона. Это видно на скриншоте с поста выше.

Про Telegram без 2FA это снова про угон аккаунта через SMS. Другая история, Не путайте.

В интернете даже нашел что Apple рассылала уведомления жертвам Pegasus в 98 странах Pegasus был найден на телефонах журналистов с включённой 2FA и свежей iOS Amnesty International и Citizen Lab верифицировали сотни случаев заражения через Zero-click задокументированные Zero-click эксплойты для iOS

Шифрование мессенджеров защищает данные в транзите когда атака происходит на уровне устройства а ты грубо говоря читаешь данные после расшифровки прямо в памяти процесса. End-to-end encryption в этой модели угроз нерелевантен.

Это реальность, которую признают Apple, Google, Meta и независимые исследователи безопасности, если вы не разбираетесь, не нужно вводить в заблуждение

2FA (двухфакторка) и кодовый пароль в Telegram защищают вход в аккаунт через чужое устройство по SMS-коду. Всё

Я телеграмом занимаюсь 5 лет, у меня сотни чатов, реализованных проектов, свои лидогенераторы на базе ИИ и ряд других проектов внутри платформы. Поэтому знаю о чем говорю. Это сейчас я ушел в AI проекты для бизнесов, но телега остается все той же платформой, где угнать аккаунт можно и не важно есть пароль или нет.

Рассказывает Максим Петров, спасибо ему за пояснения