Даже Facebook безопаснее чем Telegram: основатель Signal раскритиковал популярный мессенджер

Почему Telegram не так безопасен, как принято считать

Марлинспайк рассказал, что сообщения, отправленные через Telegram, хранятся на серверах компании в исходной форме или в виде обычного текста, без шифрования для защиты личных данных пользователей. Глава Signal отметил, что в этом отношении даже Messenger и WhatsApp компании Meta (бывшая Facebook) обеспечивают конфиденциальность лучше, чем Telegram.

Интересно Помощь на расстоянии: каким должно быть современное обслуживание клиентов

Дело в том, что обе эти программы предлагают как минимум сквозное шифрование для всех сообщений, отправляемых через их платформы.

В свою очередь Telegram хранит все данные в облаке в полностью открытом формате: тексты, общие мультимедийные данные, контакты. Даже Messenger предлагает минимальный стандартный протокол сквозного шифрования для данных, хранящихся на серверах.

В случае Telegram все, кто имеет доступ к его сервисам, имеют также доступ ко всей базе незащищенных данных пользователей мессенджера.

Главная проблема Telegram

Не следует полагаться на защищенность Telegram / Фото Unsplash

Ресурс Winfuture, который первым сообщил о незащищенности Telegram, утверждает, что программа по сути является открытым окном на серверы, хранящие всю историю всего, что происходило на платформе, которая видима для частного пользователя, так же как для операторов сервера.

Если, например, хакер решит заняться слежкой за личными сообщениями пользователя в Telegram, он без особого труда сможет это сделать.

Критика "защищенности" Telegram

В декабре 2015 в твиттере возник спор по поводу защищенности Telegram между Павлом Дуровым и представителями Open Whisper Systems, разработчиками защищенного мессенджера Signal и Эдвардом Сноуденом. Представители OWS ответили одному из пользователей твиттера, который считал, что Telegram достаточно безопасен, что тот по умолчанию не шифрует сообщения. Сноуден добавил, что Telegram следует провести масштабное обновление, чтобы избавиться от "опасных" настроек по умолчанию.

Мокси Марлинспайк – основатель OWS и создатель мессенджера Signal, который ранее работал главой отдела безопасности Twitter – подчеркнул, что существует разница между тем, как позиционирует себя Telegram и чем он является на самом деле.

Интересный факт! Главный технолог Американского союза гражданских свобод Кристофер Согоян считает, что позиционирование мессенджера с точки зрения безопасности является неоправданным, поскольку компании должны думать о защите по умолчанию, а не заставлять пользователей изменять настройки клиента.

Миф о супербезопасном Telegram

Основная проблема вокруг всей истории с "самым защищенным" мессенджером в том, что многие люди имеют слабое представление о криптографии и защите данных, поэтому легко поддаются популистским маркетинговым заявлениям, которые со дня выхода Telegram на рынок только увеличиваются.

Привязка аккаунта к номеру телефона

Telegram использует авторизацию с помощью номера телефона и по умолчанию достаточно ввести код из SMS-сообщения, чтобы получить доступ к учетной записи.

Проигнорировать это требование нельзя, потому что мессенджер привязан к номеру и вся активность пользователя привязана к этому номеру. Несмотря на простоту для пользователя, такое решение значительно снижает защищенность аккаунта.

В связи с рисками привязки к номеру телефона очень важно включить двухфакторную или двухэтапную аутентификацию в таких программах.

Важно! Кстати, активация двухэтапной аутентификации в Telegram вовсе не спасет вас от взлома, лишь обеспечит уничтожение истории переписки.

Проблему привязки аккаунта к номеру телефона можно описывать очень долго, но в "двух словах" все основывается на незащищенности устаревших технологий SS7, на базе которых работают мобильные сети. Например такие уязвимости позволяют перехватывать звонки и SMS-сообщения и для этого не нужно даже обладать специальными навыками. Ни один оператор в мире не застрахован от подобных атак, как бы он ни защищался.

Читайте на сайте Новая версия браузера Google перестанет открывать некоторые сайты: в чем дело

Контакты синхронизируются с сервером

Список контактов непрерывно синхронизируется с сервером. Если вы на несколько минут подключите учетную запись Google или поставите другую SIM-карту, все контакты с них будут отправлены на серверы мессенджера.

Даже если вы использовали только секретные чаты, но злоумышленники получили доступ к вашей учетной записи – они будут иметь возможность установить полный список ваших контактов, что позволит построить гигантскую карту социальных связей с другими пользователями. Так можно установить, как пользователи связаны друг с другом.

Гигантские объемы метаданных

Telegram ежедневно собирает и рассылает на серверы огромные объемы служебных данных. Программа рассылает сообщения всему списку контактов каждый раз, когда открывается или скрывается окно приложения.

Злоумышленник фактически может "подписаться" на все метаданные жертвы, просто добавив ее в свой список контактов. К сожалению, взаимного согласия мессенджер в таком случае не спросит. Более того, жертва ничего об этом не узнает, поскольку никаких сообщений не будет, и злоумышленник вообще не отобразится в списке контактов Telegram.

Собрав достаточно метаданных, можно узнать, когда конкретные люди разговаривали друг с другом. Казалось бы, проблема незначительная, но для мессенджера, который ставит в основу защиту данных и полную конфиденциальность своих пользователей, это все-таки проблема.

Для защиты от такой атаки необходимо в настройках приватности выбрать отображение времени последнего посещения "Только для моих контактов" или "Ни для кого".

Шифрование отключено по умолчанию

Это просто смешно для мессенджера, который позиционируется, как защищенный, но да, по умолчанию переписка не шифруется. Чтобы включить шифрование, необходимо дождаться собеседника в сети и включить секретный чат. Уже существующий разговор зашифровать нельзя. Групповые чаты вовсе не поддерживают шифрование.

Надежность шифрования

К тому, что шифрование по умолчанию вообще отключено, еще и технология шифрования MTProto вызывает у многих специалистов по безопасности немало вопросов. Дело в том, что серверная часть шифрования закрыта, а шифрование на стороне клиентов никто серьезно не проверял.

Фанаты мессенджера могут аргументировать, что был объявлен конкурс на взлом Telegram с денежным призом, однако мероприятие неоднократно критиковали. Потенциальные победители утверждали, что были ограничены в своих действиях и имели в распоряжении лишь зашифрованное содержимое переписки, были приведены примеры того, как по заданным правилам конкурса условиям даже заранее уязвимый алгоритм было бы невозможно взломать.

Интересно! Через год Павел Дуров объявил начало нового конкурса. Хакерам предлагалось "раскрыть" переписки двух роботов и уже разрешалось не просто выступать в роли наблюдателя, как в случае с первым конкурсом, но и проводить активные атаки. Несмотря на то, что условия конкурса были изменены, появились вопросы и к правдивости такого конкурса.

Не пропустите Больше не первый: Google потерял лидерство в рейтинге самых популярных сайтов в интернете

Существует также немало историй о том, как российские спецслужбы легко взламывали переписки оппозиционных политиков, журналистов и других деятелей, а ко всему не так давно Telegram на официальном уровне подтвердил, что будет предоставлять все запрашиваемые спецслужбами данные. Поэтому мессенджер Telegram может быть сколь угодно удобным и передовым, однако в вопросе безопасности это точно не тот инструмент, на который стоит полагаться.