Мнение профессионалов: «совершенный» Телеграм небезопасен

09.08.2018 11:03

Мнение профессионалов: «совершенный» Телеграм небезопасен

Уже неоднократно замечалось: чем пафоснее рекламная кампания, чем исступлённее вопли «экспертов», тем более серьёзные недостатки они призваны «замазать» в своём продукте. Каждый, почти наверняка, вспомнит из своей жизни немало случаев, когда разрекламированное «чудо» потом начинало показывать свои самые малопривлекательные стороны. Из недавнего и общеизвестного: то всепогодный и малозаметный американский истребитель F-35 оказывается ни разу не всепогодным, и к тому же чрезвычайно заметным, то супер-авианосец «Джеральд Форд» после спуска на воду получает кличку «плавучей катастрофы». Впрочем, мало у кого есть возможность познать на своём горьком опыте недостатки истребителей или авианосцев, а вот «косяки» одного из самых популярных мессенджеров касаются сотни миллионов человек.

Продолжая аналогию с американским «недо-чудом», «Телеграм» Павла Дурова оказался вовсе не тем, за что так старательно его пытались выдать – безопасным и зашифрованным средством связи. А как бы вовсе даже и наоборот.

При минимальной настойчивости и теоретических знаниях, можно обойти это шифрование и получить доступ к секретным чатам, которые позиционируются Дуровым энд Ко как «святая святых». Процесс взлома был подробно описан на сайте Habr одним из сознательных хакеров, пожелавшим показать обществу, что «самый защищённый мессенджер в мире» таковым абсолютно не является. Были похищены ключи шифрования, прочитаны секретные чаты с другого устройства, а также совершена подмена пользователя в переписке. Собственно, этого целиком и полностью достаточно для того, чтобы считать «Телеграм» не «конспиративной квартирой», а «проходным двором».

Но интереснее всего, как отреагировали в самой «Телеге» на попытки сообщить им о имеющихся уязвимостях: «Обойдя end to end encryption Telegram мессенджера на Android, баг-репорт отправил письмом на вышеупомянутый e-mail. Ответа не получил, спустя несколько дней написал в техподдержку волонтерам Telegram. Волонтеры мне ответили, что донесут мою мысль до руководства Telegram, запросив с меня уточнение: откуда и когда я отправил свое письмо. Спустя две недели тишины я еще раз напомнил о своем письме волонтерам, на этот раз и добровольцы мессенджера полностью проигнорировали моё напоминание. Через неделю я снова повторил отправку письма на официальную почту Telegram — нет ответа. Что же остается, чем же заняться? докучать со своим баг-репортом по Telegram через микроблог?, осаждать неофициальные источники общения команды durov-а? Или написать и выложить статью для СМИ? Прямо какая-то кибербюрократия сформировалась в рядах Telegram»

Чуть дальше парень жалуется, что и до него были подобные случаи с тем же результатом: «Не могу не отметить w9w с habr.com, который, по моему мнению, нашел лучшую уязвимость на платформе Telegram: уязвимость в telegra.ph. Суть – любой юзер мог отредактировать чужую статью на telegra.ph. Со своим отчетом об уязвимости w9w (он нашел их несколько) так же не смог достучаться на security@telegram.org. После прохождения бюрократического квеста, w9w получил за найденные уязвимости маленькое финансовое вознаграждение. Интересно, это жадность Telegram? или какая-то другая причина?».

Именно, что причина — другая. «Телеграму» вообще невыгодна дискуссия вокруг возможных недостатков своего продукта, который подаётся как вершина совершенства. Это что же получается – одному ответь, второму, они потом с гордостью начнут писать свои баг-репорты «Как я спас нашу любимую Тележку», а попробуй ещё эти баги почини! Лучше уж «отморозиться». Ну, с другой стороны, тогда есть риск, что мессенджер взломают вовсе не доброжелательные хакеры, а настоящие злоумышленники или спецслужбы – НО ОНИ-ТО ОБ ЭТОМ КРИЧАТЬ НЕ БУДУТ! Будут себе тихонько воровать данные да следить за юзерами, но без лишней огласки, по-прежнему для виду поддерживая репутацию Дуровского детища как лучшего средства для обмена секретами. И всем выгодно: Дурову, преступникам и спецслужбам. Невыгодно только пользователям. Но им никто в этой проблеме помогать не собирается

Григорий Игнатов

Обращаем ваше внимание что следующие экстремистские и террористические организации, запрещены в Российской Федерации: «Свидетели Иеговы», Национал-Большевистская партия, «Правый сектор», «Украинская повстанческая армия» (УПА), «Исламское государство» (ИГ, ИГИЛ, ДАИШ), «Джабхат Фатх аш-Шам», «Джабхат ан-Нусра», «Аль-Каида», «УНА-УНСО», «Талибан», «Меджлис крымско-татарского народа», «Мизантропик Дивижн», «Братство» Корчинского, «Тризуб им. Степана Бандеры», «Организация украинских националистов» (ОУН).

Источник

Следующая новость
Предыдущая новость

Уголовное дело возбуждено из-за некачественного жилья для детей-сирот в Воротынском районе Нижегородский водоканал инвестирует почти 10 млрд рублей в экологические проекты Популяция норки за десять лет увеличилась в Нижегородской области "Благодаря вашему труду обеспечивается бесперебойная работа ТЭК и химической промышленности", - Глеб Никин Сруб. Подготовка к строительству дома из оцилиндрованного бревна

ЦИТАТА "Подтверждение долгосрочных РДЭ отражает неизменное мнение Fitch о перспективах поддержки банков."
© Fitch Ratings
Лента публикаций