Ніякого захисту і таємний API для викрадення даних: хакери публікують власний погляд на Telegram

28 серпня 2024, 16:31
Читать новость на русском

Джерело:

The Hacker's Choice

Група міжнародних хакерів, відомих під назвою "The Hacker's Choice", стверджує, що займається інформаційною безпекою й не працює за наймом. Уся її діяльність подається як присвячена благу громадськості. У новому дописі в їхньому блозі активісти розповіли про месенджер Telegram у контексті затримання його розробника й керівника, Павла Дурова.

Що не так із Telegram

Засновника Telegram заарештували у Франції 24 серпня, звинувативши його в сприянні численним злочинам, яким він дозволив процвітати у своєму месенджері. Ця подія не лишилася без уваги світових ЗМІ та звичайних користувачів. Відреагували й хакери: одні стали на захист директора компанії, атакувавши французькі сайти, інші ж навпаки підтримали правоохоронців.

Дивіться також Засновника Telegram Дурова затримали у Франції: хронологія подій

The Hacker's Choice були одними з тих, хто виступив проти Дурова та його сервісу.

Павла заарештували не за те, що він критикував Макрона. Його заарештували за те, що він (нібито) сприяє широкому спектру злочинів, включаючи торгівлю наркотиками та діяльність груп, що вимагають викуп. Його також слід було заарештувати за брехню суспільству та за зв'язок з Кремлем. Будь-хто, хто навмисно і свідомо бреше громадянам про безпеку, повинен сидіти у в'язниці,
– йдеться в заяві хакерського об'єднання.

Перед тим, як пояснити свою позицію щодо месенджера, активісти надають три причини, чому Telegram, на їхню думку, заслуговує на прискіпливий аналіз з боку правоохоронців:

  • Telegram "НЕ шифрується". Вся історія ваших чатів зберігається на серверах застосунка у повному обсязі й лишається там назавжди, даючи змогу будь-кому з доступом до серверів її прочитати. Тут хакери посилаються на детальне розслідування Метью Ґріна, криптографа і професора Університету Джонса Гопкінса, в якому він виклав думки про шифрування в додатку і пояснив, чому твердження про те, що Telegram – це "програма для обміну зашифрованими повідомленнями", є вкрай хибним.
  • Telegram – тіньова компанія, яка не розкриває деталі своєї діяльності. Ми майже нічого не знаємо про керівників, фінансування, робочі процеси та інші деталі, які зазвичай є публічними у подібних компаній.
  • Telegram – це, ймовірно, операція ФСБ.

Таємний API краде ваші дані, а зникомі повідомлення нікуди не зникають

Автори статті The Hacker's Choice кажуть, що не довіряють Telegram не без причини. У 2022 році вони вивчали API Telegram (набір інструментів, який дозволяє розробникам взаємодіяти з програмним забезпеченням, отримувати доступ до його процесів, інформації та функцій) і виявили в ньому незадокументовані (тобто приховані) функції, які дозволяють третій стороні завантажити будь-який груповий чат, без необхідності в ньому перебувати. Це працює навіть із приватними чатами, закритими від сторонніх очей налаштуваннями.

Крім того, хакери стверджують, що "зникаючі повідомлення та автоматичне видалення в Telegram – це маркетинговий фарс". Під час аналізу вони видалили "роки й роки повідомлень", але потім знайшли все це "гарно оформленим у форматі HTML" – всі імена користувачів, метадані, медіа, голосові записи та інше.

Telegram розробив шикарний API для вилучення даних. З усіма наворотами. Гарно організований чорний хід. А потім не задокументував його. ДЛЯ КОГО? Як на мене, пахне підозріло,
– пишуть у блозі The Hacker's Choice.

Симуляція санкцій

Дослідники також згадують події кількарічної давності, коли російські державні органи нібито намагалися заблокувати Telegram. У результаті цієї операції "Роскомнадзора" на кілька годин вийшла з ладу велика частина російського інтернету, включно з державними сайтами. Але Telegram все одно продовжив працювати, не дивлячись на заяви про його заборону, блокування, сповільнення чи інші заходи.

"Росія заборонила Signal і визнала [розробника WhatsApp] Meta екстремістською організацією. Замість них росіяни переходять на Telegram – незашифрований додаток для обміну повідомленнями, який має недокументований API для витоку даних в урядовому стилі. Подумайте самі", – розмірковують активісти, прямо заявляючи, що всі новини про заборону Telegram є фейковими.

"Усі користувачі в Росії продовжували використовувати TG без проблем. Ніяких заборон. Ніяких обмежень", – пишуть далі у статті.

"Конфлікт" Дурова з владою Росії

Павло Дуров покинув Росію після того, як втратив контроль над своїм першим великим проєктом, соцмережею "ВКонтактє". Його фактично змусили її продати або ж удали, що змусили, якщо вірити теорії про те, що все це було одним великим спектаклем ФСБ. Дуже швидко Дуров заявив, що створить нову соцмережу, але яка повністю покладатиметься на смартфони й не матиме вебверсії, як традиційні соцмережі. У результаті ми отримали месенджер, який довгий час не був схожий на соцмережу, а почав "обростати" їхніми типовими функціями лише в останні кілька років.

Павло стверджує, що виїхав з Росії через конфлікт з російською державою. Думаю, з часом ми дізнаємося, що Павло виїхав з Росії, щоб мати кращу переговорну позицію з ФСБ: його важче контролювати, коли він живе за кордоном, і він менш схильний до "віконних самогубств",
– припускають The Hacker's Choice

"Де технічні документи їхніх інженерів? Чому не бачимо їх у відкритому доступі, як ми бачимо Моксі Марлінспайка, Мередіт Віттакер, Філа Циммермана? Чому інженери TG відсутні на кожній зустрічі IETF, де формується надійне шифрування і конфіденційність? Чому TG не відкрита щодо свого шифрування? Чому вони не дозволяють рецензування? Або хоча б частково відкрити його для громадського контролю?" – ставлять логічні питання хакери. Але відповіді на них поки що ніхто не має.

Далі хакери також згадують, що Дуров підтримав очевидно "наклепницьку" кампанію, спрямовану проти конкурентного застосунка Signal, стверджуючи, що сервіс перебуває "у ліжку з урядом". 

"Повна дурня. Ми з дитинства знаємо людей, які працюють у Signal. Вони заслужили нашу довіру — вони невпинно боролися, щоб зробити шифрування доступним для широких мас, і невпинно боролися в багатьох інших сферах, щоб допомогти людям вирватися з-під контролю авторитарних режимів. Росія забороняє Signal, тому що його [повідомлення] неможливо перехопити. Замість нього просувають Telegram, – додали активісти.

Варто зазначити, що у червні 2020 року російський диктатор Путін хвалив Telegram як приклад "конструктивної співпраці", поки опозиційні блогери "зникали як мухи", пишуть у звіті. 20 серпня 2024 року Дуров їде до Азербайджану, а згодом у мережі з'являються припущення про те, що мільярдер поїхав туди, щоб шукати зустрічі з Путіним, який прибув туди ж 18 серпня. Невідомо, чи була така зустріч насправді, але обидві сторони це заперечили. 20 серпня Путін був уже в Чечні.

Дивіться також Дуров приїздив у Росію понад 50 разів з 2015 по 2021 роки, – "Важливі історії"

Фінансування

Ми також достеменно не знаємо тонкощів фінансування Telegram. Дуров завжди стверджував, що робить це зі своєї кишені й навіть наводив різні суми, які начебто витрачає на підтримування роботи серверів. 

Перша монетизація сервісу почалася лише в останні два роки, коли він запровадив Premium-підписку, платні функції та запустив рекламну платформу з дуже кусючими цінами. Це означає, що цілих 10 років Дуров нібито утримував компанію за власний кошт.

Наскільки реалістично, щоб бізнесмен працював стільки часу собі в збиток – питання залишиться відкритим і на власний розсуд кожного читача.

Слідкуйте за всіма новинами, що стосуються арешту Павла Дурова за цим посиланням.

Чого хочуть від Telegram

Нарешті, група хакерів The Hacker's Choice наводить перелік кроків, на які компанії варто було б піти, якщо вона хоче позиціонуватися "додатком для безпечного обміну повідомленнями" і надалі подавати себе як сервіс, що "бореться з репресивними урядами":

  • Впровадження шифрування p2p за замовчуванням.
  • Відкриття початкового коду. Хакери пишуть: "Припиніть приховувати своє шифрування. Воно не є безпечним, якщо його не перевіряють колеги. Що вам потрібно приховувати?"
  • API пахне присутністю ФСБ, і це потрібно усунути.
  • Telegram – це сервіс, який обирають російські групи вимагачів. Тож цей момент потрібно краще модерувати.
  • Потрібно розповісти світові правду про те, що всі повідомлення зберігаються на серверах, навіть після видалення. "ПРИПИНІТЬ БРЕХАТИ КОРИСТУВАЧАМ", – закликають автори.
  • Для нетехнічних користувачів повинно бути "очевидним", що сервіс не є безпечним за замовчуванням.
  • "Припиніть це тіньове переховування. Виходьте на люди. Покажіть нам, хто ви є. Зустрічайтеся з нами на конференціях. Приходьте до IETF. Покажіть нам, що ви вмієте. Ваші навички, які виходять за рамки видобутку, зберігання та вилучення даних".
  • "Розкрийте, звідки беруться ваші гроші. Розкажіть про свій бізнес-план. Покажіть свої рахунки, бенефіціарів, корпоративну структуру та пролийте світло на минуле кожного директора".
  • "Будьте більше схожими на Signal".