Уязвимости Telegram от «Фабрики медиа» Евгения Пригожина

Павел Дуров | Pavel DurovПавел Дуров | Pavel Durov

Уязвимости Telegram от «Фабрики медиа» Евгения Пригожина

Telegram атаковала «фабрика медиа» Евгения Пригожина, известная запуском заказных статей, — к такому выводу пришла редакция «Медузы» после изучения опубликованных подозрений в адрес популярного приложения.

По информации РБК, к медиахолдингу относятся 16 якобы независимых друг от друга сайтов: крупнейший из них — Федеральное агентство новостей (ФАН). Кроме того, туда входят сайты «Народные новости», «Экономика сегодня», «Инфореактор», «Политэксперт», «Политхаос» (pohnews.org), «Новостное агентство Харькова» (nahnews.org), «КиевСМИ» и т.д.

Теперь о сути уязвимостей Telegram (подробно в «Медузе»).

«Уязвимость» в Telegram Passport

30 июля на «Хабре» вышел пост Алексея Ермишкина «Почему Telegram Passport — никакой не End-to-End», в котором автор утверждает, что алгоритм шифрования данных и метаданных Telegram Passport недостаточно надежный. Поэтому сотрудники мессенджера (или те, кто завладеет данными на его серверах) в теории могут получить доступ к документам пользователей, аппаратно определив установленный пользователем пароль.

Давайте разберёмся.

«Медуза» не стала углубляться в детали алгоритма (пусть его проверяют эксперты по безопасности, от которых, кстати, пока не было замечаний), но напомнила пользователям, что:

1) изначально в любом продукте присутствуют уязвимости. И Telegram будет шлифовать и тщательно тестировать на проникновение свой новый сервис.

2) шифрование документов в Telegram Passport действительно end-to-end, и сомнения здесь безосновательны. Если будут обнаружены факторы, ослабляющие безопасность сервиса, то алгоритм шифрования обязательно изменят. Так поступают все технологические компании.

Добавим, что в IT-отрасли действует установленное правило: при обнаружении уязвимости в технологии специалист обязательно уведомляет разработчиков, чтобы они могли обезопасить своих пользователей от действий злоумышленника, если тот решит эксплуатировать брешь в безопасности. Kак видим, в данном случае это не было сделано…

О том, что идентификация — тренд в мире технологий, нет сомнения. В начале августа стало известно о заявке Apple на патент технологии, позволяющей идентифицировать личность человека с помощью iPhone, пишет Apple Insider. Данные владельцев устройств предполагается предоставлять из защищенного хранилища, с помощью технологии радиочастотной идентификации. Защита информации пользователя выстраивается на основе биометрической верификации Touch ID и Face ID.

Kстати, не забывайте, в Telegram с 2015 года также работает идентификация по отпечатку пальцев Touch ID.

В Telegram нашли сканы паспортов россиян

На следующий день после публикации об уязвимости в Telegram Passport, основатель «Rusbase» Мария Подлеснова рассказала, что, если вбить в поиск по Telegram слово «паспорт», в мессенджере можно найти каналы с «тысячами» сканов документов — паспортов, ИНН и так далее.

Непонятно, при чем здесь Telegram Passport, учитывая, что сканы появились в мессенджере за несколько месяцев до его запуска. Kаналы, которые назвала Подлеснова, просто использовали Telegram как еще одну площадку для публикации.

Тем не менее, медиа растиражировали фейк, обвинив разработчиков Telegram. «Медуза» насчитала 12 таких заметок на сайтах «фабрики медиа». Навязывалось мнение, что мессенджер «является прямым источником криминальной активности», а для его основателя Павла Дурова важна лишь прибыль, и потому ему «плевать на безопасность простых пользователей». Показательно, что сайты РИА «Новости», «Интерфакса», ТАСС, «Ведомостей» и РБК проигнорировали эту тему.

Уязвимость Telegram позволяет скомпрометировать секретные чаты

7 августа на «Хабре» появилась заметка пользователя под ником ne555 с описанием двух уязвимостей. Аноним утверждал, что злоумышленник на Android-устройстве может выяснить пароль входа в Telegram и «клонировать» данные с Android-устройства жертвы в свой телефон, благодаря чему получит доступ и к секретным чатам.

По сообщению ne555, используя существующие программы, пароль можно подобрать за несколько секунд. Одно условие — у жертвы должны быть root-права. Kлонирование данных из Telegram тоже завязано на использовании root-прав в телефоне жертвы.

Из поста ясно, что именно права суперпользователя позволяют эксплуатировать уязвимость. Без них злоумышленник ничего сделать не сможет (иначе сотрет все пользовательские данные). Также жертва не должна включать на своем устройстве шифрование данных. Совпадение этих условий кажется маловероятным: если пользователь продвинут настолько, чтобы получить права суперпользователя, едва ли он не подумает о шифровании.

Павел Дуров писал о «взломе» Telegram на устройстве с root-доступом еще в 2015 году.

«Если злоумышленник каким-то образом получил права суперпользователя на вашем устройстве, нет никакого смысла обсуждать никакие уровни безопасности — злоумышленник уже БОГ в вашем телефоне. Он может видеть все, что вы видите на экране, и делать много что еще. Заявлять об уязвимостях, „предполагающих root-доступ“, это как говорить, что Бог Всемогущий может теоретически (в дополнение к уничтожению и созданию миров) вскрыть замок определенного швейцарского бренда. А значит, этот замок небезопасен!»

Уязвимость Telegram позволяет узнать номер телефона пользователя

9 августа руководитель «Центра исследований легитимности и политического протеста» Евгений Венедиктов рассказал газете «Известия» о разработке «Криптоскан», которая использует некую уязвимость в API мессенджера для выяснения номера телефонов пользователей Telegram по юзернейму.

Неизвестно, как работает программа; как и нет фактов, что информация о «Криптоскан» — не очередной вброс.

Глава сервиса аналитики чатов ComBot Федор Скуратов предположил, что применен подход, который известен уже несколько лет. Связан он с синхронизацией телефонной книжки пользователя со списком контактов в мессенджере. Теоретически злоумышленник может написать программу, которая добавляла бы в телефонную книгу тысячи случайных номеров телефона, затем синхронизировать ее с Telegram и посмотреть, какие имена и номера совпадут.

Несомненно, Telegram работает с контактами — для удобства, в том числе самих пользователей. Но трудно представить, что API Telegram позволяет одномоментную синхронизацию, например 10 миллионов контактов. В конце концов, есть лимит на обработку. K тому же, в мессенджер давно добавлена возможность не использовать юзернейм вообще. Так что, ищите, господа.

Впрочем, Telegram никогда не ставил цель — анонимизации, его задача — удобство пользователей и безопасность передаваемой информации. Однако сама идея привязки учетной записи к телефону — не годная, даже если это и так себе идентификатор.

Что за «волшебные чемоданы», взламывающие Telegram?

13 августа Би-би-си сообщила, что этим летом Следственный комитет закупил два комплекса Forensic MagiCube от китайской компании MeiyaPico. Эти комплексы используются для извлечения данных из телефонов и компьютеров, в том числе расшифровки истории сообщений в мессенджерах (Skype, WhatsApp, Telegram, Viber, WeChat и Line).

Известно также, что MagiCube не перехватывает сообщения между пользователями, а анализирует (и, возможно, извлекает) истории переписки на конкретном устройстве, которое окажется в руках следователей. На это же указал руководитель лаборатории компьютерной криминалистики Валерий Баулин.

Kак видите, «волшебные кубы» — не такие уж и волшебные.

Собственно, информационная война против Telegram идет с самого начала создания мессенджера. Это лишь новый и далеко не последний всплеск.

22:57
389