Разделы

ПО Безопасность Пользователю Стратегия безопасности Техника Российское ПО

Telegram может тайно читать сообщения пользователей. Видео

В Telegram обнаружили интересную особенность, которая позволяет считать, что переписка пользователей подвергается анализу на стороне сервера.

Особенности авторизации

Telegram, популярный мессенджер, разработанный Павлом Дуровым, основателем социальной сети «Вконтакте», может следить за перепиской пользователей «облачных» чатов. К такому выводу пришли авторы Telegram-канала Mediatube, проанализировав механизм авторизации пользователей мессенджера.

При установке приложения на новое устройство, пользователю приходит SMS-сообщение с пятизначным кодом авторизации. Кроме того, тот же самый код дублируется в чате служебных уведомлений. Его можно увидеть на каждом устройстве владельца учетной записи Telegram. Данный код необходимо ввести на новом устройстве, чтобы начать пользоваться приложением.

Пользователи заметили, что, если скопировать код авторизации или ввести его вручную и отправить в любой чат, код потеряет свою актуальность и не сработает при попытке авторизоваться с его помощью на новом устройстве. Стоит также отметить, что аннулирование кода авторизации произойдет даже в случае отправки смешанного сообщения – к коду можно добавить сколь угодно любых знаков, и это никак не повлияет на способность Telegram вычленить его из последовательности символов. Однако же при отправке кода в секретный чат данная процедура аннулирования не сработает.

Итоги проведенного эксперимента могут являться доказательством того, что переписка пользователей анализируется неким алгоритмом на стороне сервера, как минимум, при осуществлении авторизации. В пользу этой теории говорит тот факт, что код авторизации не аннулируется при отправке в секретный чат, поскольку сообщения в таких чатах подвергаются сквозному шифрованию, не хранятся на серверах Telegram и доступны лишь отправителю и получателю.

Данную особенность можно назвать интересным подходом к защите учетной записи от кражи кодов авторизации и предотвращению несанкционированного доступа к ней. Тем не менее, подобный подход оставляет поле для спекуляций и подозрений: не читает ли Telegram и другие сообщения пользователей?

Впрочем, если верить Антону Розенбергу, бывшему сотруднику «Вконтакте» и «Телеграфа», у администрации Telegram и так имеется техническая возможность просматривать сообщения пользователей из «облачных» чатов, а ключи для расшифровки сообщений все-таки возможно передать ФСБ, чего силовики давно добиваются.

На момент выхода публикации Павел Дуров не дал каких-либо комментариев по теме.

О блокировке Telegram

Напомним, что 13 апреля 2018 г. Таганский районный суда Москвы постановил ограничить доступ к информационным системам и программам для ЭВМ, которые предназначены и используются для доставки и обработки электронных сообщений пользователей интернета и функционирование которых обеспечивается компанией Telegram Messenger LLP. Поводом для вынесения подобного решения стал отказ Павла Дурова предоставить ФСБ ключи для расшифровки переписки пользователей мессенджера якобы за отсутствием технической возможности.

Как «умный» корпоративный портал повышает эффективность бизнеса
Бизнес

Обязанность проведения мероприятий по блокировке мессенджера на территории России была возложена на Роскомнадзор, и уже в понедельник 16 апреля 2018 г. ведомство приступило к исполнению предписания суда. К 17:00 вторника 17 апреля 2018 г. Роскомнадзор заблокировал 19,3 млн IP-адресов, принадлежащих различным провайдерам «облачных» услуг, которые Telegram якобы использовал для обхода блокировок, а также разнообразным VPN-сервисам и прокси-серверам, с помощью которых уже пользователи в свою очередь могли воспользоваться мессенджером в обход запрета.

Позднее «под раздачу» попали и популярные российские сервисы «Яндекс», «Вконтакте» и «Одноклассники».

Впоследствии большая часть адресов была разблокирована, а «война» между Роскомнадзором и Павлом Дуровым перешла в относительно «холодную» фазу.

В то же самое время сам Telegram по-прежнему остается доступным, причем нередко без использования прокси-серверов и VPN.

Дмитрий Степанов