Служба безопасности обнаружила, что при некоторых условиях переписку пользователей Telegram хранит в незашифрованном виде, аналогично одной из версий Signal. Павел Дуров назвал эту уязвимость «несуществующей».
Непросто прочитать Telegram
Мессенджеры Signal и Telegram в версии для компьютеров сохраняют всю переписку пользователей на жёстком диске без шифрования. Конечно, прочитать давольно-таки сложно, но вполне реально.
Эксперт по безопасности Натаниэль Сачи (Nathaniel Suchy) поясняет, что Telegram использует базу данных SQLite для хранения сообщений. «Которую не очень просто прочитать, но которая в целом лишена шифрования».
Сачи провел анализ данных и смог найти имена и телефонные номера, которые можно проассоциировать друг с другом. В то же время, информацию было непросто считать. Однако нескольких специально написанных скриптов хватило, чтобы вычленить необходимые данные.
Приложение Телеграм для компьютеров имеет парольную защиту, чтобы предотвратить неавторизованный доступ к аккаунту. Конечно, эта опция никак не связана с шифрованием. Поэтому хакер может получить доступ к чатам пользователя и прочитать их. Издание Bleeping Computer отмечает, что все сообщения Telegram отправляет в общую базу, даже при использовании «секретного режима».
В то же время, версия Telegram Desktop вообще не поддерживает секретные чаты как таковые. Функция доступна только для мобильных клиентов.
В режиме «секретности» Telegram шифрует сообщения и файлы вложений при передаче. В этом режиме он использует сквозное шифрование, исключающее возможность перехвата и просмотра содержимого переписки третьей стороной.
Возможность чтения переписки в десктопной версии Telegram
Интересно, что при обмене данными через облако мессенджер не использует сквозное шифрование. Разработчики утверждают, что алгоритм шифрования, защищающий каналы клиент-сервер и сервер-клиент, весьма надёжен. Система сохраняет переписку в облаке, за счет чего у пользователя есть возможность просматривать её с любого устройства.
«Проблема с восстановлением данных в истории чатов на новом устройстве (в случае потери смартфона, например) не имеет элегантных решений в парадигме сквозного шифрования. В то же время надёжное резервное копирование — базовая функция любого мессенджера для массового рынка. Чтобы решить эту проблему, некоторые приложения (WhatsApp и Viber, в частности) допускают дешифруемые резервные копии. Что ставит приватность их пользователя под угрозу. Даже если они сами не активировали функцию резервного сохранения данных. Другие приложения вообще отказываются от резервных копий. И растворяются в небытии ещё до того, как количество их пользователей достигает одного миллиона», — говорится в вопроснике Telegram.
Разработчики Telegram выбрали «третий путь», в котором чаты дифференцированы. При использовании «облачных» чатов резервное копирование на клиентской стороне отключается. А при использовании секретного режима пользователи получают «полный контроль над данными, хранение которых для вас нежелательно». То есть резервные копии мессенджер сохраняет локально.
Телеграм не признает уязвимость
Павел Дуров, создатель Telegram, отреагировал на эту новость в весьма жёсткой форме: «К сожалению, нежелание редакторов СМИ разбираться в деталях проблем с безопасностью приводит к тому, что читатели перестают в итоге обращать на них внимание. И когда появляются сообщения о настоящих угрозах, пользователь может не придать им значения».
Он отмечает, что суть найденной «уязвимости» в том, что: «Eсли бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения».
Таким образом, можно сказать, что, если некое третье лицо получает неавторизованный доступ к компьютеру жертвы, это уже лишает смысла дискуссии о безопасности баз данных Telegram. Как и любых других данных.
Но все же существует возможность утечки архива сообщений в Телеграм. Например, в случае, если пользователь продает компьютер и удаляет свои данные с возможностью восстановления.
Или же в случае получения злоумышленником удалённого доступа к компьютеру жертвы. Когда его, в первую очередь, интересуют его коммуникации, в том числе содержимое переписки в Telegram. Тогда мессенджер мало чем может помешать хакеру получить эти сообщения.
Данные в опасности или очередной хайп
«С одной стороны, для того, чтобы скомпрометировать переписку Телеграм в таком ключе, потребуется взломать компьютер жертвы. В таком случае говорить о безопасности данных вообще нет смысла, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Однако вполне возможны сценарии, когда именно содержимое переписки Telegram будет представлять наибольший интерес для потенциальных злоумышленников. А её утечка — наибольшую угрозу для жертвы. В любом случае, наиболее эффективной будет многослойная защита. Если существует минимальная возможность компрометации конфиденциальной переписки, её следует устранить».
Авторитетные эксперты отрасли ответили, что «это нельзя считать уязвимостью». Если злоумышленник сможет получить доступ к компьютеру пользователя, то прочитанная переписка Telegram — это меньшая из проблем, которые могут возникнуть. Они считают, что СМИ решили просто словить «хайп» за счет нашумевшего мессенджера.
Фото: Twitter.