Мифы о Telegram
В конце апреля – начале мая 2019 г. в России разгорелся новый скандал, связанный с кражей данных. Неизвестные подключились к аккаунтам Telegram двух оппозиционных политиков – Георгия Албурова и Олега Козловского. Оба получили от мессенджера сообщение о входе с нового устройства: это был Linux-клиент с IP-адресом, принадлежащим серверу анонимной сети Tor.
В ходе расследования инцидента (активное участие в котором, кстати, принял сам Telegram) выяснилось: кто-то перехватил sms-сообщения с паролем для входа в мессенджер, которые приходят на мобильный номер пользователя при попытке зайти в клиент мессенджера с нового устройства. По стечению обстоятельств именно в ночь перехвата кодов услуги доставки sms на номерах Албурова и Козловского оказались отключены. Оба они абоненты МТС. Компания утверждала, что ничего не отключала, но политики представили доказательства обратного. Telegram, в свою очередь, отметил, что избежать такой ситуации может помочь двухфакторная аутентификация – когда помимо sms пользователя нового устройства мессенджер просит дополнительно ввести ранее установленный пароль.
Шифрование выключено. Да-да, по умолчанию переписка не шифруется. Мессенджер, который преподносится разработчиками как суперзащищенный от прослушивания, передает сообщения открытым текстом. Для активации шифрования требуется прервать текущую сессию и установить новое защищенное соединение Secret Chat. Почему не включено шифрование по умолчанию? А вы не догадываетесь?! Номер телефона. При регистрации сервис требует сообщить свой номер телефона. Проигнорировать это требование нельзя, так как именно на этот номер приходит код активации. Вся пользовательская активность привязывается к этому номеру. Ну и какая тут может быть приватность?! Контактный лист хранится на сервере. Если у одного из ваших оппонентов изымут (или украдут) телефон, то о вас и ваших связях станет известно, ведь контактный лист может быть повторно запрошен с сервера. Метаданные. Telegram отправляет просто гигантские объемы служебных данных на сервер. Даже если включено шифрование в рамках защищенной сессии Secret Chat. Это значит, что в любой момент может стать известно с кем вы общаетесь, когда, откуда. Доступ к этим данным могут получить спецслужбы (официально или через эксплуатацию уязвимости). Надежность шифрования. Проблема в том, что её никто серьезно не проверял. Да, был объявлен конкурс на взлом с денежным призом. Никто не справился. Но давайте разберемся, является ли этот факт доказательством криптографической стойкости и надежности "дуровских" алгоритмов? Всем известно, что лучшие криптоаналитики работают на АНБ и иных спецслужбах. Можно ли предположить, что могущественное ведомство с многомиллиардным бюджетом сольет найденные и эксплуатируемые дыры, позарившись на денежное вознаграждение от г-на Дурова? Таким образом, конкурс задействовал лишь любителей и энтузиастов, которые не нашли в алгоритме уязвимости. Это единственное доказательство надежности шифрования в Telegram. Болтливость. Как уже говорилось, «безопасный» Telegram зачем-то отправляет гигантские объемы метаданных на сервера, принадлежащие г-ну Дурову. Но это еще полбеды. Настоящая проблема в том, что часть метаданных рассылается по списку контактов. Злоумышленник может обманом попасть в контактный лист жертвы и снимать часть метаданных. Работающие прототипы, позволяющие получать информацию об активности пользователя, уже представлены. В них эксплуатируется одна странная особенность официального клиента Telegram под Android: программа каждый раз высылает уведомление по всем контактам, когда пользователь делает окно с Telegram активным или переключается на другую программу. Сопоставляя эти данные с активностью других пользователей Telegram, аналитик может вычислять примерный круг общения жертвы. Эксперты предупреждают: разработчики Telegram выдают свою разработку за средство защищенного общения, однако по факту Telegram им не является. Будьте внимательны и обязательно учитывайте этот факт.