Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Другие новости
показать ещеЕсли вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Главное
В экспертном отчете компании Symbolic Software, который оказался в распоряжении издания «Важные истории», говорится, что в мессенджере Telegram существуют уязвимости, с помощью которой в теории можно деанонимизировать отправитель:ниц сообщений, включая тех, кто общается в секретных чатах.
«Мы проверили утверждения из публикации об этих уязвимостях и пришли к выводу, что основные технические выводы верны и их можно подтвердить независимым способом. <…> Последствия этой уязвимости выходят далеко за рамки теоретических опасений. <…> Это особенно важно, учитывая, что “Телеграм” широко используется журналистами, активистами и другими людьми из групп повышенного риска», — говорится в экспертизе, посвященной проверки прошлогоднего расследования «Важных историй» о том, как ФСБ может использовать Telegram.
Что выяснили эксперт:ки?
По большей мере экспертная группа из Symbolic Software подтвердила, что при отправке сообщений через Telegram силовики «могут собирать значения auth_key_id с помощью пассивного наблюдения за интернет-трафиком».
«Для этого не требуется сложная атака типа “человек посередине” (man-in-the-middle), взлом сертификатов или вмешательство в работу протокола. Достаточно просто перехватывать сетевой трафик и выполнить минимальную обработку данных.Поскольку auth_key_id сохраняется неизменным между сессиями, при смене сети и в течение длительного времени, это создает возможность для долгосрочного отслеживния устройств», — пишут киберспециалист:ки.
Таким образом, в теории ФСБ и другие силовые ведомства могут установить личность отправитель:ниц сообщений, а при наличие других данных о пользователь:нице — связать эти данные с конкретными людьми.
Опрошенные «Важными историями» эксперт:ки также отмечают, что в теории силовики смогут также расшифровывать и читать конкретные сообщения, которые отправлял:а пользователь:ница.
В то же время, по данным Symbolic Software, уязвимость не является причиной недоработки, а скорее «фундаментального отказа “Телеграма” от своей обязанности защищать приватность пользователей с помощью современных криптографических механизмов»
«Решение проблемы очевидно: “Телеграм” должен полностью устранить эту уязвимость, сделав обязательным использование транспортного шифрования — стандартной технологии, которую сегодня применяют практически все крупные мессенджеры», — отмечается в отчете.
В комментарии для DOXA эксперт по кибербезопасности Тимофей Дубровских говорит, что глобально у Telegram есть три большие проблемы. Первая заключается в том, что пользователь:ницу можно отследить по auth_key_id. Вторая проблема связана с тем, что обычные чаты в Telegram не шифруются, в то время как шифрование работает только в секретных чатах — их, в свою очередь, как следует из доклада, также в теории можно прочитать.
Третья проблема заключается в сторонних приложениях, которые позволяют пользоваться Telegram, например, Telega, которая стала популярна у россиян:ок после начала блокировок интернета.
«Telega подменяла серверы Telegram на свои, использовала собственные ключи MTProto, отключала секретные чаты и прогоняла трафик через инфраструктуру в России. Это уже риск не просто слежки по метаданным, а потенциального доступа к содержимому обычной переписки», — отмечает Дубровских.
Чтобы обезопасить себя Дубровских советует не использовать сторонние приложения, которые дают доступ к Telegram. При этом для чувствительных разговоров эксперт рекомендует в целом воздержаться от использования Telegram и использовать его альтернативы — Signal или Delta. В самом Telegram лучше всего включить двухфакторный пароль, проверку активных сессий, скрытие номера телефона и запрет синхронизации контактов.