В Telegram найдена новая «дыра»

Безопасность
мобильная версия
, Текст: Сергей Попсулин

Тот факт, что информация о смене статусов пользователей Telegram доступна в виде простого текста, позволяет злоумышленнику легко узнавать, кто с кем общается и когда, всего лишь располагая телефонными номерами этих людей. По мнению исследователя, это досадная брешь, и разработчики Telegram достаточно самонадеянно провозгласили его безопасным мессенджером. 



Новая брешь в Telegram

Упущение в системе безопасности Telegram позволяет удаленно узнавать, с кем и когда общается пользователь мессенджера, сообщает исследователь Ола Флисбек (Ola Flisback). 

Отправка метаданных

Флисбек обнаружил, что Telegram отправляет уведомления всем пользователям, в контактах которых есть владелец мобильного устройства, каждый раз, когда он открывает приложение и сворачивает его. Эти уведомления относятся к так называемым метаданным — служебной информации.

Используя интерфейс командной строки для Telegram (например, telegram-cli), эту информацию легко прочитать, потому что она представлена в незашифрованном текстовом виде. Это позволяет злоумышленнику узнавать — между кем и в какое время происходит обмен сообщениями, если у него на смартфоне в Telegram есть оба контакта одного чата. 

Более серьезная проблема

Наиболее простая и самая популярная ситуация — наличие у «шпиона» в Telegram двух друзей, которые обмениваются сообщениями. В этом случае, как описано выше, этот человек сможет узнавать, когда два его друга начинают и заканчивают общение.


Информация о смене статусов пользователей Telegram доступна в виде простого текста

Однако стоит напомнить, что добавить пользователя Telegram достаточно просто — нужно всего лишь внести в контакты на смартфоне его телефонный номер, и он тут же появится в   Telegram. Как только это произойдет, приложение на телефоне жертвы будет отправлять уведомления и этому абоненту в том числе. И необязательно этот новый абонент должен быть в контактах на устройстве жертвы.

Вывод исследователя

Ранее основатель Telegram Павел Дуров заявил, что ежемесячно мессенджером Telegram пользуются 62 млн человек, которые вместе  отправляют 2 млрд сообщений в сутки. По мнению Флисбека, такая популярность обусловлена тем, что разработчики Telegram уверяют пользователей в полной защите их конфиденциальности. В действительности же, указывает исследователь, она далеко не идеальна. 

«Имея доступ к метаданным, атакующий может легко узнавать, с кем общается жертва и когда. Это серьезная проблема для пользователей приложения, авторы которого взяли на себя обязательство защитить их от любого вида слежки», — делает вывод  Флисбек.

Уязвимости в Telegram

Мессенджер Павла Дурова привлекает исследователей не в первый раз. В феврале 2015 г. специалист по информационной безопасности Зук Аврахам (Zuk Avraham) из компании Zimperium рассказал, что сообщения, пересылаемые между пользователями мессенджера, легко прочесть, не обладая ключом шифрования. Дело в том, что Telegram хранит текст сообщений в ОЗУ в виде обычного текста. Поэтому, если злоумышленнику удастся взломать устройство пользователя, для него не составит труда получить доступ и к переписке.

Запрет Telegram

В ноябре 2015 г. депутат Госдумы Александр Агеев обратился к  ФСБ с просьбой запретить мессенджер Telegram в России, сославшись на сообщения иностранных СМИ о том, что террористы в Париже использовали мессенджер для координации своих действий. В ответ на эту просьбу Дуров предложил запретить слова, потому что  с их помощью общаются террористы. В этот же день администрация мессенджера удалила 78 публичных каналов в Telegram о деятельности запрещенного в России «Исламского государства».