Telegram на сегодняшний день один из самых успешных проектов, с которым было связано множество неоднозначных историй. Мало какой мессенджер может похвастаться попыткой блокировки на территории своей страны. Аудитория Telegram насчитывает более 0,5 млрд. пользователей по всему миру.
В данной статье я хочу объективно посмотреть на вопрос анонимности и безопасности данного мессенджера. Меня засыпают вопросами из серии: “А Дуров продался?” “А Telegram читают спец.службы?” и множество подобных. Выскажу свое личное мнение по этому вопросу и вместе с вами постараемся разобраться, на сколько вообще можно доверять Telegram. Так же, в конце статьи разберем пару простых правил, как улучшить безопасность своего аккаунта.
PS: все написанное является сугубо моим личным мнением.
Основная претензия
Для простоты понимания хода моих мыслей, я выстрою повествование следующим образом: для начала поговорим о ключевой претензии к Telegram, а затем разберем несколько найденных в разное время уязвимостей и проанализируем их. Примерно по такой же логике мы провели небольшое исследование WhatsApp с одним моим коллегой из инфобеза. Мою статью об этом можно почитать тут.
НЕ ИСПОЛЬЗУЙ ТЕЛЕГРАМ!
Рассмотрим “базовые технические характеристики”.
Степень централизации: централизованный (сообщения хранятся на серверах Telegram);
Регистрация: отсутствует анонимная регистрация, необходима привязка к номеру телефона;
Наличие E2EE шифрования (сквозное): присутствует. Работает только для секретных чатов;
Групповые E2EE чаты: отсутствуют;
Синхронизация E2EE чатов: отсутствует. Можно использовать только с одного устройства (это, скорее, плюс, чем минус);
Защита социального графа: отсутствует (все контакты пользователей хранятся на серверах Telegram);
Исходный код: “условно” открытый.
Если проблема с анонимной регистрацией решается покупкой условной “левой симки” и работы не со своего телефона (или просто покупка виртуального номера), то вот история с исходным кодом более интересная.
Формально, у Telegram открытый исходный код (лицензия — GPLv3), но вот на практике оказывается, что большая часть разработки закрыта для простых пользователей. Ключевые репозитории посмотреть нельзя. Что это означает?
Если исходный код закрытый, или, как в данном случае, “условно открытый”, то большинство заявленных технических характеристик продукта мы никогда не сможем проверить.
Говорить можно, что угодно: “мой продукт самый защищенный в мире, у меня реализовано супер-пупер шифрование, ключи шифрования хранятся только на устройствах пользователей и прочее”. По факту, это только слова, так как технических доказательств этому мы не увидим.
По сути, это моя основная претензия к Telegram с момента позиционирования его, как “сверх-анонимного-защищенного мессенджера”. Так же, как видно из описания выше, других минусов тоже хватает. Например, все сообщения пользователей (если это не секретные чаты) хранятся на серверах Telegram. Ну и после последних событий, у меня есть четкая уверенность, что органы периодически получают доступ к переписке пользователей, если появляется веская причина. Причем, по официальному запросу.
Почему пользоваться ВКонтакте небезопасно?
Последнее — про сквозное шифрование. Оно по умолчанию не включено в Telegram. Что это значит? Приложение имеет доступ ко всем метаданным (кому вы писали и во сколько, userID, привязка номера телефона и прочее), а так же непосредственно к самой переписке и файлам, которые вы кому-либо присылали. Эти данные хранятся на серверах Telegram в незашифрованном виде.
Проблема решается с помощью “секретных чатов”. В данной функции реализовано сквозное шифрование, и переписки не хранятся на серверах приложения (по идее).
Теперь поговорим о некоторых других деталях.
Найденные “дырки”
В данной главе приведу несколько найденных уязвимостей разными специалистами за несколько лет. Какие-то из них уже исправлены, какие-то продолжают “работать”.
Август 2018г. Уязвимость, позволяющая скомпрометировать секретные чаты.
Целое расследование, в котором показано, как хакер смог получить доступ к секретным чатам.
Источник: https://habr.com/ru/post/419551/
Октябрь 2018г. Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом проблемы.
“Студент первого курса колледжа Уэйк Текникал (Wake Technical) Натаниэль Сачи (Nathaniel Suchy) рассказал в Твиттере, что нашёл «серьёзную уязвимость» в настольной версии Telegram. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.
Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной. Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.”
Источник: https://tjournal.ru/tech/79153-student-iz-ssha-obnaruzhil-chto-telegram-na-desktope-hranit-soobshcheniya-v-otkrytom-vide-durov-ne-uvidel-v-etom-uyazvimosti
Август 2020г. Перехват чужих сообщений через “избранное”.
“Пользователи Telegram со всего мира оказались под угрозой потери личных данных — хакеры могут украсть их через подделку «Избранного» (Saved Messages). Это отдельный чат, которым многие пользуются для отправки сообщений самому себе или хранения какой-либо важной информации для быстрого доступа к ней с различных устройств. Это может быть что угодно — логины и пароли, корпоративная документация, персональные данные и т.д.
Воспользоваться уязвимостью может любой, даже с нулевыми познаниями во взломах приложений.”
Источник: https://www.cnews.ru/news/top/2020-08-07_v_telegram_obnaruzhena_gigantskaya
Январь 2021г. “Функция «Люди рядом» (помогает искать пользователей поблизости и знакомиться) позволяет узнать точное местонахождение пользователя даже без специальных навыков или оборудования.”
“Функция работает на расстоянии до 12 км, так что за несколько минут перебора можно найти человека, зная его город (а лучше район) — что не так сложно вычислить благодаря соцсетям. Далее действовать можно по-разному: либо пройтись самостоятельно и записать данные об удалённости с трёх разных точек, либо использовать приложение, заставляющее смартфон думать, что вы находитесь в другом месте.”
Источник: https://yandex.ru/turbo/lifehacker.ru/s/telegram-uyazvimost-geolokacii/
Февраль 2021г. Telegram на macOS сохранял самоудаляемые сообщения в системе.
“В отличие от Signal и WhatsApp мессенджер Telegram не обеспечивает сквозное шифрование по умолчанию. Такая защита здесь включается вручную — через опцию secret chat. После ее активации все данные, передаваемые участниками чата, шифруются не только в процессе обмена, но и при сохранении на серверах Telegram. Опция «секретный чат» также позволяет отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата (у всех собеседников). Проведенный Мишрой анализ показал, что в macOS-приложении Telegram этот механизм работает некорректно: аудио- и видеосообщения исправно пропадают с экрана, но их копии остаются в системе в виде файлов .mp4.”
Источник: https://www.anti-malware.ru/news/2021-02-12-114534/34993
Получение IP-адреса через звонок.
По сети гуляет масса инструкций, как это можно реализовать. Вот небольшой пример.
Недавно вышел еще один простой вариант, который требует обычного наличие windows и установленного Telegram desktop версии. Описывать я его не буду, по понятным причинам.
Естественно, это далеко не все уязвимости, но, для фактажа, как мне кажется, этого более чем достаточно.
Какой вывод из всего этого можно сделать?
Явной закономерности по типу уязвимости, как в случае с WhatsApp, мы тут не наблюдаем. Это всего лишь говорит о том, что у приложения есть проблемы с безопасностью, причем, как мы видим из найденных за несколько лет уязвимостей, проблемы серьезные и разноплановые. Создателю с командой явно есть над чем работать.
Можно ли утверждать, что Telegram — это сверхнадежный, защищенный и анонимный мессенджер? Абсолютно точно нет.
Можно ли пользоваться Telegram? Конечно да. Все зависит от ваших целей и задач.
Ну а теперь разберем несколько простых советов для того, чтобы улучшить свою безопасность в Telegram.
Как можно повысить свою безопасность в Telegram?
- Обязательно установите двухфакторную аутентификацию! (моя статья об этом методе, и почему так важно про него не забывать).
- Для улучшения безопасности переписки, лучше пользоваться секретными чатами. Переписка секретного чата не хранится на серверах Telegram (но это не точно)
- Установите пароль на вход в приложение, а так же отключите уведомления на экране смартфона. Это не позволит человеку получить визуальный доступ к информации, или снизит риск получения ее, в случае потери или кражи устройства.
- Нужно отключить возможность ссылаться на свой аккаунт и добавлять себя в группы.
- Если хотите усилить анонимность, то стоит подумать о регистрации не на свой номер телефона. Вариантов много.
Всем мира и побольше критического мышления ✋
Также читайте меня тут: Telegram и Вконтакте
Источник: emisare.medium.com
Адвокат: чем ВКонтакте опаснее Фейсбука
Во ВК есть огромное количество групп, вступая в которые, люди вешают себе на голову мишень, а администрация этой социальной сети с подобным контентом никак не борется и сбиваться в расстрельные шеренги не мешает
Любопытное расследование провел адвокат правозащитной организации «Русь Сидящая» Леонид Абгаджава. Его заинтересовало соотношение уголовных дел, возбужденных по статье «экстремизм» против пользователей различных социальных сетей:
«Под впечатлением от уголовных дел по ст. 282 в Барнауле вижу в фейсбучной ленте, как многие сейчас удаляют аккаунты в ВК и призывают к этому других.
Посыл о том, что из вконтакте нужно бежать абсолютно верен, я не спорю. Но бежать нужно, вовсе не потому что ВК отдает информацию правоохранительным органам. Объясню почему.
Зачем вообще следствию та информация, которую они запрашивают у ВК? С помощью информации о логах следствие и суд устанавливают, что текст или картинка были опубликованы с такого-то IP адреса в такое-то время.
Если следствие не получит эту информацию от социальной сети, уголовного дела не будет?
Конечно, будет. Все ваши компьютеры со всеми вашими аккаунтами, из которых никто и никогда не выходит, следствие получит во время обыска. Всю историю ваших входов и выходов в интернет следствие получит от вашего провайдера. А уж кто, а провайдер следствию не откажет никогда.
Теперь о Фейсбуке.
Работая в Руси Сидящей, я видел приговор, согласно которому человек был осуждён на реальный срок за публикации в ВК, ОК и FB тоже. Предоставил ли Фейсбук такую же информацию следствию? Нет, у него её даже не запрашивали, а вот результат всё тот же. А все, потому что все, что нужно следствие получило от провайдера и во время обыска. А самый главный документ, с которого все началось, давным-давно добыл опер, но об этом чуть позже.
Тем не менее, ВК гораздо опаснее фейсбука, но совершенно по другой причине. Причина в том, что в ВК оперу очень удобно найти то, что ему нужно.
Как это происходит? Когда в небольшом городке в России что-то происходит, журналист находит в ВК паблик этого города, а там посты, комментарии и живые люди, всё быстро и удобно, в ФБ нет ничего подобного. Примерно так поступает и опер, он тоже ищет группы, но другие. По ним он находит людей, а в их аккаунтах целую россыпь того, что ему нужно. Тогда он и составляет тот самый документ, который определит чью-то судьбу.
Для этого ему нужен лишь понятой и его рабочий компьютер, он заходит на страничку, делает скриншоты и оформляет тот самый акт осмотра, и именно в этот момент в 99% случаев и будет установлена чья-то вина.
Поэтому исходя из того, насколько легко оперу составить этот документ, и нужно определять, насколько опасна соцсеть.
Ради эксперимента, я прямо сейчас взял и попробовал найти живую страничку ВК незнакомого человека с фотографиями и именем, на которой размещено видео, уже включенное в список экстремистских материалов. На это мне понадобилось пять минут.
А всё потому что в ВК есть огромное количество групп, вступая в которые, люди вешают себе на голову мишень. В ВК в свою очередь с подобным контентом никак не борются, сбиваться в расстрельные шеренги не мешают. А Барнаул показывает, что теперь опасно состоять не только в условной группе поклонников одного немецкого ефрейтора, но и быть подписчиком какого-нибудь Типичного Атеиста.
Тот же эксперимент в FB меня ни к чему не привел. Поиск по слову «чистота» привел меня к экологам, слову славяне к безобидным группам с пейзажами, где рожь, солнце, вот это вот всё, а по слову Русь я вообще попал на страницу Руси Сидящей.
И в этом разница. Но это вовсе не повод считать, что в фейсбуке вы в безопасности. »
Источник: newizv.ru
Так ли безопасны приложения из официального Google Play
Всегда рекомендуется скачивать приложения для устройств Android только с официальных магазинов. Однако, это не означает, что на Google Play нет вирусов. Это правда, что их там меньше, чем в других местах, но они туда все-таки попадают.
Как Google контролирует безопасность приложений для Android
Попадание вредоносной программы в Google Play не является каким-то большим подвигом. Прежде чем магазин представит приложение, модераторы проверяют, совместимо ли оно с обширным списком требований. Если они найдут что-то нежелательного, они блокируют доступность программы в магазине.
Однако, в магазине Google Play появляется так много новых приложений, а также обновлений для уже существующих, что модераторы просто не в состоянии проконтролировать всё. В результате, время от времени там появляются вредоносные приложения.
Вот несколько примеров, которые лучше всего иллюстрируют это.
Объявления, которые вы не хотите видеть
Недавно обнаружили вредоносный код в приложении CamScanner, используемого для оцифровки документов. Приложение не только было доступно в магазине Google Play, но и по имеющимся данным, было установлено на более чем 100 млн устройств.
До определенного момента CamScanner было обычным приложением, которое делало то, что обещали авторы. Зарабатывали они на рекламе и платных функциях. Однако, ситуация изменилась, когда в приложение был добавлен вредоносный рекламный модуль.
Вредоносная программа в виде трояна Necro.n проникла в один из рекламных модулей и установила ещё один троян, задачей которого было загрузка на устройство ещё одной заразы – например, рекламного приложения и программы, тайно подключающей пользователя к платным подпискам сторонних компаний.
Администраторы Google удалили приложение из магазина. Разработчики, ответственные за приложение CamScanner, также быстро удалили из неё вредные модули, чтобы она могла вернуться в магазин. Однако, зараженная версия была некоторое время доступна для скачивания.
Плеер, который оказался вором
CamScanner – это не единственный пример приложения, которое получило вредоносную функциональность уже после появления в магазине Play Google. Создатели трояна, появившегося в качестве музыкального плеера в российской социальной сети ВКонтакте (VK), на протяжении нескольких лет обходили контроль модераторов.
Изначально в магазине Google Play была доступна безвредная версия приложения, однако, позже она была обновлена вредоносными функциями. Через некоторое время приложение стало красть логины и пароли к аккаунтам в сети VK. Более того, жертвы, скорее всего, ничего об этом не знали, и их учетные записи тайно использовались для продвижения групп в соцсети VK.
Когда обновленная версия плеера была разоблачена и удалена из магазина, ее авторы сразу выпустили новое (и даже несколько). В 2015 году из магазина Google Play было удалено целых семь разных версии указанной вредоносной программы. Кроме того, в магазине появились поддельные версии приложения Telegram от тех же авторов – оно крало пароли, но добавляло жертв в группы и чаты, выбранные злоумышленниками.
Злая армия в магазине Google Play
Как будто этого было недостаточно. В 2016 году эксперты обнаружили в магазине Google Play 400 игр и других программ, оснащенных трояном DressCode.
При попадании на устройство жертвы, вредоносная программа подключаться к серверу команд, а затем вводила себя в состояние сна. Затем киберпреступники могли использовать такие отключенные гаджеты для DDoS-атак, чтобы увеличить количество кликов на рекламные баннеры или проникать в локальные сети, в которую входили устройства.
Нельзя за это винить модераторов Google Play: DressCode трудно выявить, потому что его код настолько мал, что визуально незаметен.
Как не получить вредоносную программу в Google Play
Как видно, сам факт, что приложение попало в официальный магазин для устройств Android, не означает, что оно в безопасности – иногда они содержат вредоносные программы. Чтобы избежать инфекции, необходимо сдержанно относиться ко всем программам, в том числе из магазина Google Play, а также применять основные правила кибергигиены.
- Не загружайте приложение на свой смартфон сразу. Почитайте отзывы пользователей – вы можете там найти много ценной информации о его поведении. Посмотрите также информацию о производителе – быть может, его предыдущие программы были удалены из магазина или он имеет какую-то подозрительную историю.
- Внимательно почитайте отзывы пользователей. Помните, что бывают и нечестные производители, которые заливают свои страницы положительными отзывами, поэтому лучше принимайте во внимание те, которые выглядят естественными.
- Старайтесь раз в месяц удалять со смартфона или планшета Android ненужные программы. Чем меньше приложений у вас на устройстве, тем легче будет его контролировать.
- Используйте надежное решение для обеспечения безопасности, – которые обеспечат Вам защиту от угроз из магазина Google Play, которые могли бы ускользнуть от модераторов.
Итак, правда ли, что магазине Google Play не имеет вредных приложений? Это неправда. Вредоносные программы иногда появляются в магазине Google Play. Риск заражения значительно ниже, чем в случае загрузки с других сайтов, однако, он по-прежнему существует.
Источник: webznam.ru