Никакой защиты и тайный API для хищения данных: хакеры публикуют собственный взгляд на Telegram

Что не так с Telegram

Основателя Telegram арестовали во Франции 24 августа, обвинив его в содействии многочисленным преступлениям, которым он позволил процветать в своем мессенджере. Это событие не осталось без внимания мировых СМИ и обычных пользователей. Отреагировали и хакеры: одни встали на защиту директора компании, атаковав французские сайты, другие же наоборот поддержали правоохранителей.

Смотрите также Основателя Telegram Дурова задержали во Франции: хронология событий

The Hacker's Choice были одними из тех, кто выступил против Дурова и его сервиса.

Павла арестовали не за то, что он критиковал Макрона. Его арестовали за то, что он (якобы) способствует широкому спектру преступлений, включая торговлю наркотиками и деятельность групп, требующих выкуп. Его также следовало арестовать за ложь общественности и связь с Кремлем. Любой, кто намеренно и сознательно лжет гражданам о безопасности, должен сидеть в тюрьме,
– говорится в заявлении хакерского объединения.

Перед тем, как объяснить свою позицию относительно мессенджера, активисты предоставляют три причины, почему Telegram, по их мнению, заслуживает пристального анализа со стороны правоохранителей:

• Telegram "не шифруется". Вся история ваших чатов сохраняется на серверах приложения в полном объеме и остается там навсегда, позволяя любому с доступом к серверам ее прочитать. Здесь хакеры ссылаются на детальное расследование Мэтью Грина, криптографа и профессора Университета Джонса Хопкинса, в котором он изложил мысли о шифровании в приложении и объяснил, почему утверждение, что Telegram – это "программа для обмена зашифрованными сообщениями", является крайне ошибочным.
• Telegram – теневая компания, которая не раскрывает детали своей деятельности. Мы почти ничего не знаем о руководителях, финансировании, рабочих процессах и других деталях, которые обычно являются публичными у подобных компаний.
• Telegram – это, вероятно, операция ФСБ.

Тайный API крадет ваши данные, а исчезающие сообщения никуда не исчезают

Авторы статьи The Hacker's Choice говорят, что не доверяют Telegram по конкретным причинам. В 2022 году они изучали API Telegram (набор инструментов, который позволяет разработчикам взаимодействовать с программным обеспечением, получать доступ к его процессам, информации и функциям) и обнаружили в нем незадокументированные (то есть скрытые) функции, которые позволяют третьей стороне загрузить любой групповой чат, без необходимости в нем находиться. Это работает даже с частными чатами, закрытыми от посторонних глаз настройками.

Кроме того, хакеры утверждают, что "исчезающие сообщения и автоматическое удаление в Telegram – это маркетинговый фарс". Во время анализа они удалили "годы и годы сообщений", но потом нашли все это "красиво оформленным в формате HTML" – все имена пользователей, метаданные, медиа, голосовые записи и прочее.

Telegram разработал шикарный API для извлечения данных. Со всеми наворотами. Хорошо организованный черный ход. А потом не задокументировал его. ДЛЯ КОГО? Как по мне, пахнет подозрительно,
– пишут в блоге The Hacker's Choice.

Симуляция санкций

Исследователи также вспоминают события многолетней давности, когда российские государственные органы якобы пытались заблокировать Telegram. В результате этой операции "Роскомнадзора" на несколько часов вышла из строя большая часть российского интернета, включая государственные сайты. Но Telegram все равно продолжил работать, несмотря на заявления о его запрете, блокировке, замедлении или других мерах.

"Россия запретила Signal и признала [разработчика WhatsApp] Meta экстремистской организацией. Вместо них россияне переходят на Telegram – незашифрованное приложение для обмена сообщениями, который имеет недокументированный API для утечки данных в правительственном стиле. Подумайте сами", – рассуждают активисты, прямо заявляя, что все новости о запрете Telegram являются фейковыми.

"Все пользователи в России продолжали использовать TG без проблем. Никаких запретов. Никаких ограничений", – пишут далее в статье.

"Конфликт" Дурова с властями России

Павел Дуров покинул Россию после того, как потерял контроль над своим первым крупным проектом, соцсетью "ВКонтакте". Его фактически заставили ее продать или же притворялись, что заставили, если верить теории о том, что все это было одним большим спектаклем ФСБ. Очень быстро Дуров заявил, что создаст новую соцсеть, но которая полностью будет полагаться на смартфоны и не будет иметь веб-версии, как традиционные соцсети. В результате мы получили мессенджер, который долгое время не был похож на соцсеть, а начал "обрастать" их типичными функциями только в последние несколько лет.

Павел утверждает, что уехал из России из-за конфликта с российским государством. Думаю, со временем мы узнаем, что Павел уехал из России, чтобы иметь лучшую переговорную позицию с ФСБ: его труднее контролировать, когда он живет за границей, и он менее склонен к "оконным самоубийствам",
– предполагают The Hacker's Choice

"Где технические документы их инженеров? Почему мы не видим их в открытом доступе, как мы видим Мокси Марлинспайка, Мередит Уиттакер, Фила Циммермана? Почему инженеры TG отсутствуют на каждой встрече IETF, где формируется надежное шифрование и конфиденциальность? Почему TG не открыта в отношении своего шифрования? Почему они не позволяют рецензирование? Или хотя бы частично открыть его для общественного контроля?" – задают логичные вопросы хакеры. Но ответа на них пока никто не имеет.

Далее хакеры также вспоминают, что Дуров поддержал очевидно "клеветническую" кампанию, направленную против конкурентного приложения Signal, утверждая, что сервис находится "в постели с правительством".

"Полная ерунда. Мы с детства знаем людей, которые работают в Signal. Они заслужили наше доверие — они неустанно боролись, чтобы сделать шифрование доступным для широких масс, и неустанно боролись во многих других сферах, чтобы помочь людям вырваться из-под контроля авторитарных режимов. Россия запрещает Signal, потому что его [сообщения] невозможно перехватить. Вместо него продвигают Telegram, – добавили активисты.

Стоит отметить, что в июне 2020 года российский диктатор Путин хвалил Telegram как пример "конструктивного сотрудничества", пока оппозиционные блогеры "исчезали как мухи", пишут в отчете. 20 августа 2024 года Дуров едет в Азербайджан, а впоследствии в сети появляются предположения, что миллиардер поехал туда, чтобы искать встречи с Путиным, который прибыл туда же 18 августа. Неизвестно, была ли такая встреча на самом деле, но обе стороны это отрицали. 20 августа Путин был уже в Чечне.

Смотрите также Дуров приезжал в Россию более 50 раз с 2015 по 2021 годы, – "Важные истории"

Финансирование

Мы также точно не знаем тонкостей финансирования Telegram. Дуров всегда утверждал, что делает это из своего кармана и даже приводил различные суммы, которые якобы тратит на поддержание работы серверов.

Первая монетизация сервиса началась только в последние два года, когда он ввел Premium-подписку, платные функции и запустил рекламную платформу с очень кусачими ценами. Это означает, что целых 10 лет Дуров якобы содержал компанию за свой счет.

Насколько реалистично, чтобы бизнесмен работал столько времени себе в убыток – вопрос останется открытым и на собственное усмотрение каждого читателя.

Следите за всеми новостями, касающимися ареста Павла Дурова по этой ссылке.

Чего хотят от Telegram

Наконец, группа хакеров The Hacker's Choice приводит перечень шагов, на которые компании следовало бы пойти, если она хочет позиционироваться "приложением для безопасного обмена сообщениями" и в дальнейшем подавать себя как сервис, что "борется с репрессивными правительствами":

• Внедрение шифрования p2p по умолчанию.
• Открытие исходного кода. Хакеры пишут: "Прекратите скрывать свое шифрование. Оно не является безопасным, если его не проверяют коллеги. Что вам нужно скрывать?"
• API пахнет присутствием ФСБ, и это нужно устранить.
• Telegram – это сервис, который выбирают российские группы вымогателей. Поэтому этот момент нужно лучше модерировать.
• Нужно рассказать миру правду о том, что все сообщения сохраняются на серверах, даже после удаления. "ПРЕКРАТИТЕ ЛГАТЬ ПОЛЬЗОВАТЕЛЯМ", – призывают авторы.
• Для нетехнических пользователей должно быть "очевидным", что сервис не является безопасным по умолчанию.
• "Прекратите эти теневые прятки. Выходите в люди. Покажите нам, кто вы есть. Встречайтесь с нами на конференциях. Приходите в IETF. Покажите нам, что вы умеете. Ваши навыки, которые выходят за рамки добычи, хранения и извлечения данных".
• "Раскройте, откуда берутся ваши деньги. Расскажите о своем бизнес-плане. Покажите свои счета, бенефициаров, корпоративную структуру и пролейте свет на прошлое каждого директора".
• "Будьте больше похожими на Signal".