Так ли безопасен Telegram?

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

Telegram на сегодняшний день один из самых успешных проектов, с которым было связано множество неоднозначных историй. Мало какой мессенджер может похвастаться попыткой блокировки на территории своей страны. Аудитория Telegram насчитывает более 0,5 млрд. пользователей по всему миру.

В данной статье я хочу объективно посмотреть на вопрос анонимности и безопасности данного мессенджера. Меня засыпают вопросами из серии: “А Дуров продался?” “А Telegram читают спец.службы?” и множество подобных. Выскажу свое личное мнение по этому вопросу и вместе с вами постараемся разобраться, на сколько вообще можно доверять Telegram. Так же, в конце статьи разберем пару простых правил, как улучшить безопасность своего аккаунта.

PS: все написанное является сугубо моим личным мнением.

Основная претензия

Image for post
Image for post

Для простоты понимания хода моих мыслей, я выстрою повествование следующим образом: для начала поговорим о ключевой претензии к Telegram, а затем разберем несколько найденных в разное время уязвимостей и проанализируем их. Примерно по такой же логике мы провели небольшое исследование WhatsApp с одним моим коллегой из инфобеза. Мою статью об этом можно почитать тут.

Рассмотрим “базовые технические характеристики”.

Степень централизации: централизованный (сообщения хранятся на серверах Telegram);
Регистрация: отсутствует анонимная регистрация, необходима привязка к номеру телефона;
Наличие E2EE шифрования (сквозное): присутствует. Работает только для секретных чатов;
Групповые E2EE чаты: отсутствуют;
Синхронизация E2EE чатов: отсутствует. Можно использовать только с одного устройства (это, скорее, плюс, чем минус);
Защита социального графа: отсутствует (все контакты пользователей хранятся на серверах Telegram);
Исходный код: “условно” открытый.

Если проблема с анонимной регистрацией решается покупкой условной “левой симки” и работы не со своего телефона (или просто покупка виртуального номера), то вот история с исходным кодом более интересная.

Формально, у Telegram открытый исходный код (лицензия — GPLv3), но вот на практике оказывается, что большая часть разработки закрыта для простых пользователей. Ключевые репозитории посмотреть нельзя. Что это означает?

Если исходный код закрытый, или, как в данном случае, “условно открытый”, то большинство заявленных технических характеристик продукта мы никогда не сможем проверить.

Говорить можно, что угодно: “мой продукт самый защищенный в мире, у меня реализовано супер-пупер шифрование, ключи шифрования хранятся только на устройствах пользователей и прочее”. По факту, это только слова, так как технических доказательств этому мы не увидим.

По сути, это моя основная претензия к Telegram с момента позиционирования его, как “сверх-анонимного-защищенного мессенджера”. Так же, как видно из описания выше, других минусов тоже хватает. Например, все сообщения пользователей (если это не секретные чаты) хранятся на серверах Telegram. Ну и после последних событий, у меня есть четкая уверенность, что органы периодически получают доступ к переписке пользователей, если появляется веская причина. Причем, по официальному запросу.

Последнее — про сквозное шифрование. Оно по умолчанию не включено в Telegram. Что это значит? Приложение имеет доступ ко всем метаданным (кому вы писали и во сколько, userID, привязка номера телефона и прочее), а так же непосредственно к самой переписке и файлам, которые вы кому-либо присылали. Эти данные хранятся на серверах Telegram в незашифрованном виде. Проблема решается с помощью “секретных чатов”. В данной функции реализовано сквозное шифрование, и переписки не хранятся на серверах приложения (по идее).

Теперь поговорим о некоторых других деталях.

Найденные “дырки”

Image for post
Image for post

В данной главе приведу несколько найденных уязвимостей разными специалистами за несколько лет. Какие-то из них уже исправлены, какие-то продолжают “работать”.

Август 2018г. Уязвимость, позволяющая скомпрометировать секретные чаты.
Целое расследование, в котором показано, как хакер смог получить доступ к секретным чатам.
Источник: https://habr.com/ru/post/419551/

Октябрь 2018г. Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом проблемы.
“Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.”
Источник: https://tjournal.ru/tech/79153-student-iz-ssha-obnaruzhil-chto-telegram-na-desktope-hranit-soobshcheniya-v-otkrytom-vide-durov-ne-uvidel-v-etom-uyazvimosti

Август 2020г. Перехват чужих сообщений через “избранное”.
“Пользователи Telegram со всего мира оказались под угрозой потери личных данных — хакеры могут украсть их через подделку «Избранного» (Saved Messages). Это отдельный чат, которым многие пользуются для отправки сообщений самому себе или хранения какой-либо важной информации для быстрого доступа к ней с различных устройств. Это может быть что угодно — логины и пароли, корпоративная документация, персональные данные и т.д.

Воспользоваться уязвимостью может любой, даже с нулевыми познаниями во взломах приложений.”
Источник: https://www.cnews.ru/news/top/2020-08-07_v_telegram_obnaruzhena_gigantskaya

Январь 2021г. “Функция «Люди рядом» (помогает искать пользователей поблизости и знакомиться) позволяет узнать точное местонахождение пользователя даже без специальных навыков или оборудования.”

“Функция работает на расстоянии до 12 км, так что за несколько минут перебора можно найти человека, зная его город (а лучше район) — что не так сложно вычислить благодаря соцсетям. Далее действовать можно по-разному: либо пройтись самостоятельно и записать данные об удалённости с трёх разных точек, либо использовать приложение, заставляющее смартфон думать, что вы находитесь в другом месте.”
Источник: https://yandex.ru/turbo/lifehacker.ru/s/telegram-uyazvimost-geolokacii/

Февраль 2021г. Telegram на macOS сохранял самоудаляемые сообщения в системе.
В отличие от Signal и WhatsApp мессенджер Telegram не обеспечивает сквозное шифрование по умолчанию. Такая защита здесь включается вручную — через опцию secret chat. После ее активации все данные, передаваемые участниками чата, шифруются не только в процессе обмена, но и при сохранении на серверах Telegram. Опция «секретный чат» также позволяет отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата (у всех собеседников). Проведенный Мишрой анализ показал, что в macOS-приложении Telegram этот механизм работает некорректно: аудио- и видеосообщения исправно пропадают с экрана, но их копии остаются в системе в виде файлов .mp4.”
Источник: https://www.anti-malware.ru/news/2021-02-12-114534/34993

Получение IP-адреса через звонок.
По сети гуляет масса инструкций, как это можно реализовать. Вот небольшой пример.

Image for post
Image for post

Недавно вышел еще один простой вариант, который требует обычного наличие windows и установленного Telegram desktop версии. Описывать я его не буду, по понятным причинам.

Естественно, это далеко не все уязвимости, но, для фактажа, как мне кажется, этого более чем достаточно.

Какой вывод из всего этого можно сделать?
Явной закономерности по типу уязвимости, как в случае с WhatsApp, мы тут не наблюдаем. Это всего лишь говорит о том, что у приложения есть проблемы с безопасностью, причем, как мы видим из найденных за несколько лет уязвимостей, проблемы серьезные и разноплановые. Создателю с командой явно есть над чем работать.

Можно ли утверждать, что Telegram — это сверхнадежный, защищенный и анонимный мессенджер? Абсолютно точно нет.

Можно ли пользоваться Telegram? Конечно да. Все зависит от ваших целей и задач.

Ну а теперь разберем несколько простых советов для того, чтобы улучшить свою безопасность в Telegram.

Как можно повысить свою безопасность в Telegram?

Image for post
Image for post
  1. Обязательно установите двухфакторную аутентификацию! (моя статья об этом методе, и почему так важно про него не забывать).
  2. Для улучшения безопасности переписки, лучше пользоваться секретными чатами. Переписка секретного чата не хранится на серверах Telegram (но это не точно)
  3. Установите пароль на вход в приложение, а так же отключите уведомления на экране смартфона. Это не позволит человеку получить визуальный доступ к информации, или снизит риск получения ее, в случае потери или кражи устройства.
  4. Нужно отключить возможность ссылаться на свой аккаунт и добавлять себя в группы.
  5. Если хотите усилить анонимность, то стоит подумать о регистрации не на свой номер телефона. Вариантов много.

Всем мира и побольше критического мышления ✋🏻

Также читайте меня тут: Telegram и Вконтакте

Investigations, OSINT, cybersecurity, profiling, self defense. https://t.me/artemov_security

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store