Навіть Facebook безпечніший ніж Telegram: засновник Signal розкритикував популярний месенджер

Чому Telegram не такий безпечний, як заведено вважати

Марлінспайк розповів, що повідомлення, надіслані через Telegram, зберігаються на серверах компанії у вихідній формі або у вигляді звичайного тексту, без шифрування для захисту особистих даних користувачів. Глава Signal зазначив, що у цьому відношенні навіть Messenger та WhatsApp компанії Meta (колишня Facebook) забезпечують конфіденційність краще, ніж Telegram.

Цікаво Допомога на відстані: яким має бути сучасне обслуговування клієнтів

Річ у тім, що обидві ці програми пропонують як мінімум наскрізне шифрування для всіх текстових повідомлень, що надсилаються через їх платформи.

Своєю чергою Telegram зберігає всі дані в хмарі в повністю відкритому форматі: тексти, загальні мультимедійні дані, контакти. Навіть Messenger пропонує мінімальний стандартний протокол наскрізного шифрування для даних, що зберігаються на серверах.

У випадку Telegram всі, хто має доступ до його сервісів, мають також доступ до всієї бази незахищених даних користувачів месенджера.

Головна проблема Telegram

Не слід покладатися на захищеність Telegram / Фото Unsplash

Ресурс Winfuture, який першим повідомив про незахищеність Telegram, стверджує, що програма по суті є відкритим вікном на сервери, що зберігають усю історію всього, що відбувалося на платформі, яка видима для приватного користувача так само як для операторів сервера.

Якщо, наприклад, хакер вирішить зайнятися стеженням за особистими повідомленнями користувача в Telegram, він без особливих зусиль зможе це зробити.

Критика "захищеності" Telegram

У грудні 2015 у твіттері виникла суперечка з приводу захищеності Telegram між Павлом Дуровим та представниками Open Whisper Systems, розробниками захищеного месенджера Signal та Едвардом Сноуденом. Представники OWS відповіли одному з користувачів твіттера, який вважав, що Telegram досить безпечний, що той за замовчуванням не шифрує повідомлення. Сноуден додав, що Telegram слід провести масштабне оновлення, щоб позбавитися "небезпечних" налаштувань за умовчанням.

Моксі Марлінспайк – засновник OWS і творець месенджера Signal, який раніше працював головою відділу безпеки Twitter – наголосив, що існує різниця між тим, як позиціює себе Telegram і чим він є насправді.

Цікавий факт! Головний технолог Американського союзу громадянських свобод Крістофер Согоян вважає, що позиціонування месенджера з точки зору безпеки є невиправданим, оскільки компанії мають думати про захист за умовчанням, а не змушувати користувачів змінювати налаштування клієнта.

Міф про супербезпечний Telegram

Основна проблема навколо усієї історії із "найбільш захищеним" месенджером у тому, що багато людей мають слабке уявлення про криптографію та захист даних, тому легко піддаються популістським маркетинговим заявам, які з дня виходу Telegram на ринок лише збільшуються.

Прив'язка акаунта до номера телефону

Telegram використовує авторизацію за допомогою номера телефону, і за замовчанням достатньо ввести код із SMS повідомлення, щоб отримати доступ до облікового запису.

Проігнорувати цю вимогу не можна, тому що месенджер прив'язаний до номера і вся активність користувача прив'язана до цього номера. Попри простоту для користувача, таке рішення значно знижує захищеність акаунта.

У зв'язку з ризиками прив'язки до номера телефону дуже важливо увімкнути двофакторну або двоетапну автентифікацію в таких програмах.

Важливо! До речі, активація двоетапної автентифікації в Telegram зовсім не врятує вас від злому, лише забезпечить знищення історії листування.

Проблему прив'язки акаунта до номера телефону можна описувати дуже довго, але в "двох словах" все ґрунтується на незахищеності застарілих технологій SS7, на базі яких працюють мобільні мережі. Наприклад такі вразливості дозволяють перехоплювати дзвінки та SMS-повідомлення і для цього не потрібно навіть володіти спеціальними навиками. Жоден оператор у світі не застрахований від подібних атак, хоч би як він захищався.

Читайте на сайті Нова версія браузера Google перестане відкривати деякі сайти: у чому справа

Контакти синхронізуються з сервером

Список контактів безперервно синхронізується з сервером. Якщо ви на кілька хвилин підключите обліковий запис Google або поставите іншу SIM-картку, всі контакти з них будуть надіслані на сервери месенджера.

Навіть якщо ви використовували лише секретні чати, але зловмисники отримали доступ до вашого облікового запису – вони матимуть можливість встановити повний список ваших контактів, що надасть змогу побудувати гігантську карту соціальних зв'язків з іншими користувачами. Так можна встановити, яким користувачі пов'язані один з одним.

Гігантські об'єми метаданих

Telegram щодня збирає та розсилає на сервери величезні обсяги службових даних. Програма розсилає повідомлення усьому списку контактів щоразу, коли відкривається або приховується вікно додатка.

Зловмисник фактично може "підписатися" на всі метадані жертви, просто додавши її до свого списку контактів. На жаль, взаємної згоди месенджер у такому разі не запитає. Ще ж і надто, жертва нічого про це не дізнається, оскільки жодних повідомлень не буде, і зловмисник взагалі не відобразиться у списку контактів Telegram.

Захищеність Telegram сильно переоцінена / Фото Unsplash

Зібравши досить метаданих, можна дізнатися, коли конкретні люди розмовляли одне з одним. Здавалося б, проблема незначна, але для месенджера, який ставить в основу захист даних і повну конфіденційність своїх користувачів, це все-таки проблема.

Для захисту від такої атаки необхідно в налаштуваннях приватності вибрати відображення часу останнього відвідування "Тільки для моїх контактів" або "Ні для кого".

Шифрування вимкнено за замовчуванням

Це просто смішно для месенджера, який позиціонується, як захищений, але так, за замовчуванням листування не шифрується. Щоб увімкнути шифрування, необхідно дочекатися співрозмовника в мережі та увімкнути секретний чат. Вже існуючу розмову зашифрувати не можна. Групові чати зовсім не підтримують шифрування.

Надійність шифрування

До того, що шифрування за замовчуванням взагалі вимкнене, ще й технологія шифрування MTProto викликає у багатьох фахівців з безпеки чимало питань. Річ у тім, що серверна частина шифрування закрита, а шифрування на боці клієнтів ніхто серйозно не перевіряв.

Фанати месенджера можуть аргументувати, що було оголошено конкурс на злом Telegram із грошовим призом, проте захід неодноразово критикували. Потенційні переможці стверджували, що були обмежені у своїх діях та мали у розпорядженні лише зашифрований вміст листування, були наведені приклади того, як за заданих правилами конкурсу умов навіть заздалегідь уразливий алгоритм було б неможливо зламати.

Цікаво! Через рік Павло Дуров оголосив початок нового конкурсу. Хакерам пропонувалося "розкрити" листування двох роботів і вже дозволялося не просто виступати у ролі спостерігача, як у випадку з першим конкурсом, а й проводити активні атаки. Попри те, що умови конкурсу було змінено, постали питання і до правдивості такого конкурсу.

Не пропустіть Більше не перший: Google втратив лідерство у рейтингу найпопулярніших сайтів в інтернеті

Існує також чимало історій про те, як російські спецслужби легко зламували переписки опозиційних політиків, журналістів та інших діячів, а до всього не так давно Telegram на офіційному рівні підтвердив, що надаватиме усі запитувані спецслужбами дані. Тож месенджер Telegram може бути наскільки завгодно зручним та передовим, однак у питанні безпеки це точно не той інструмент, на який варто покладатися.