Существует множество альтернативных приложений на базе Telegram API, некоторые снискали большую популярность. Часто их потенциальные или текущие пользователи задаются вопросом — насколько безопасно использовать неофициальный клиент мессенджера?
Автор канала Телеграм Технарь подробно рассказал в чем преимущества альтернативных клиентов и какие есть риски при их использовании.
Что представляет собой альтернативный клиент? По сути, это просто немного другая программная оболочка всё того же Telegram — данные по-прежнему хранятся на серверах Telegram и используется исходный код Telegram, дополненный некоторыми функциями. Причем именно дополненный, а не измененный. Потому как это одно из главных требований к разработчикам, использующим API — запрещается мешать выполнению основных функций Telegram, все базовые функции основного приложения должны работать в любом клиенте одинаково.
Какие еще есть требования по использованию API:
- Все клиентские приложения должны защищать приватность своих пользователей.
- Нельзя заставлять пользователей других клиентов устанавливать ваше приложение, чтобы просмотреть отправленный из него контент.
- Запрещается менять статусы пользователей в сети, статусы доставки/прочтения сообщений; мешать удалению самоликвидирующегося контента.
В случае нарушения условий, Telegram заблокирует приложению доступ к API и сообщит о нарушении в магазин приложений.
Подобная ситуация произошла с Teleplus для iOS — мессенджер пользовался популярностью, поскольку это был единственный клиент для iOS, предоставляющий возможность разделять по вкладкам группы, каналы и личную переписку.
Teleplus пропал из App Store как раз из-за несоответствия требованиям экосистемы Telegram — приложение было нестабильным, часто вылетало, в нем было много назойливой рекламы.
Звучит хорошо: альтернативные клиенты используют тот же самый алгоритм шифрования, и обещают не передавать данные пользователя третьим лицам. Но теоретически имеют к ним доступ, и при желании, могут сделать с ними что угодно. А худшее, чем это грозит им — блокировкой приложения.
Казалось бы, в какой момент данные могут стать доступны стороннему разработчику? Ведь они хранятся на серверах Telegram и передаются на устройство пользователя, передача зашифрована, и альтернативный клиент — это лишь немного измененная оболочка?
У неофициального приложения, как минимум, есть доступ к сообщениям, отправленным через него. Нельзя сказать, что переписка предоставляется «на блюдечке», но приложив усилия, ее можно получить. Например, прослушивать клавиатуру при наборе текста.
Конечно тут можно поспорить: таким же образом можно опасаться, что любой вирус прослушает устройство. Но все же между вредоносным ПО и приложением, которое вы сами добровольно устанавливаете, большая разница.
К примеру был прецедент, когда неофициальный клиент Chagram принудительно подписывал пользователей на одноименный канал — вроде бы ничего криминального, но после этого Telegram ужесточил условия использования API.
Из чего вообще складывается безопасность в мессенджере? Непосредственно из защиты от перехвата в процессе передачи между клиентами, и обещания никому не давать данные, хранящиеся на серверах. При этом, первый пункт реальный, его можно «потрогать», второй — строится на доверии.
Почему же тогда можно доверять самому Telegram в вопросе сохранности ваших данных? Потому что безопасность — это ключевое преимущество мессенджера, и нарушив свои обещания, команда будет рисковать буквально всем — своими принципами и репутацией, накопленной аудиторией, и ресурсами, потраченными за столько лет.
Авторы альтернативных клиентов по сути ничем не рискуют: у них нет «имени» (а значит и репутации как таковой), и настолько большой аудитории. Поэтому они могут попытаться использовать «серые» схемы монетизации.
P.S. Автор ни в коем случае не указывает на какие-либо из альтернативных клиентов и не намекает на их непорядочность. Тем более, что сейчас использование Telegram API — процесс крайне прозрачный и отлаженный. Он лишь объясняет простым языком, как это работает и какие существуют риски.
Подписывайтесь на канал Вам Телеграм — актуальные новости, полезные статьи и советы по работе с Telegram.
Источник: www.vamtlgrm.com
Так ли надежен телеграмм
Будь в курсе последних новостей из мира гаджетов и технологий
iGuides для смартфонов Apple
Viber, WhatsApp или Telegram: выясняем, что безопаснее
28 октября 2020, 13:26
- Сразу оговорюсь — я не программист. Соответственно, я не умею писать/читать/анализировать программный код. Но политика сервиса, которым пользуются обычные пользователи, должна быть насквозь понятна этим самым пользователям. Поэтому я проанализировал всё, что мессенджеры посчитали нужным рассказать о своей работе. При этом обзоры и сравнения других людей я не читал, чтобы не смешать в голове чужое мнение и официальные источники информации. Выводы по теме ты сделаешь самостоятельно.
На сегодняшний день наиболее безопасным для облачной передачи данных считается сквозное шифрование . Этот тип шифрования предусматривает зашифровку сообщений на устройстве отправителя, а расшифровку их — на устройстве получателя. В идеале, при таком типе шифрования сообщения должны передаваться напрямую, без хранения на сервере. Однако такой способ имеет проблемы с удобством для пользователя, поэтому производители пытаются найти середину между безопасностью и комфортом. Что, кстати, в абсолюте несовместимо. И разница между распространенными сегодня мессенджерами состоит как раз в том, насколько хорошо вендор эту середину нашел.
Кстати, помнишь ту хайповую фотографию, где Дуров отправил в РКН два железных ключа? Дескать, это единственные ключи, которые у него есть. Так вот, он лукавил. Но обо всём по порядку.
ВНИМАНИЕ
Я здесь не обсуждаю теории заговоров. По умолчанию, мы считаем, что информация с официальных сайтов мессенджеров о принципах работы их шифрования достоверна
Тенденция последней пары лет среди пользователей, считающих себя продвинутыми — презирать Viber, унижать его в комментариях и отговаривать других людей от его использования. Признаюсь, я вел себя точно так же — просто потому, что считал Viber небезопасным мессенджером. Мысленно уровень его конфеденциальности я приравнивал к обычным звонкам и СМС. Однако…
Согласно официальному сайту Viber, в мессенджере используется сквозное шифрование. Эта фраза кое-где встречается в самом приложении, а на сайте Viber этому целиком посвящены пара страниц и целый PDF-документ. Я изучил этот документ, а также все утверждения о безопасности Viber. И вот что понял.
Сквозное шифрование в Viber работает по умолчанию у всех , кто пользуется версией приложения от 6.0.0 и выше. Работает оно в полном смысле этого слова. Согласно официальным данным, сообщения зашифровываются на устройстве отправителя, а расшифровываются — на устройстве получателя. Сейчас я расскажу проще, чем оно есть — предварительно устройства генерируют 256-битный ключ, который делят на публичную и приватную часть, и обмениваются публичными половинками друг с другом. Этим ключом впоследствии шифруется переписка.
Из интересного: я обратил внимание, что, если твой аккаунт подключен сразу на нескольких устройствах (например, смартфон и ПК) то Viber генерирует отдельный ключ для каждого устройства. То бишь, когда сообщение отправляется мне, устройство отправителя обменивается уникальными ключами с каждым моим устройством. Что, к слову, полностью соответствует стандартам сквозного шифрования. Viber утверждает, что сообщения хранятся на сервере только в одном случае — если получателя нет в сети. В таком случае сообщение ожидает доставки на сервере, находясь в зашифрованном состоянии (зашифрованно на устройстве отправителя).
Подписаться на блог
в Telegram → https://t.me/jeronimos_tech
- То бишь, чтобы общение в Viber было полностью безопасным, необходимо отключить функцию резервного копирования в приложении Viber, а также отключить доступ приложению к облачному хранилищу смартфона. В этом случае переписка будет храниться только на твоем устройстве, и удалится, когда ты сам этого захочешь.
На самом деле, отношение к WhatsApp у вышеобозначенной категории «продвинутых» пользователей очень схоже с Viber. Зачастую их даже упоминают вместе в негативном ключе. В вину ему вменяется также реклама, обилие мошенников, общающихся в WhatsApp, и, конечно же, уязвимости. За рекламу и бандитов не поясню, а вот в отношении уязвимостей — подразобрался.
Что касается шифрования, WhatsApp также использует сквозное . Но, если Viber использовал свои небольшие доработки этой технологии, то WhatsApp использует уже готовый тип шифрования «Signal» (да-да, в честь другого мессенджера). Кроме того, WhatsApp не поддерживает использование нескольких устройств. Подключив аккаунт на смартфон, ты не сможешь полноценно использовать WhatsApp на планшете или ПК/Mac.
Что, кстати, странно — сам Signal уже давно умеет безопасно работать на нескольких устройствах. В остальном всё очень схоже — генерация ключей из двух половин, обмен публичными частями, шифрование/расшифровка на устройствах. Здесь — политика конфеденциальности мессенджера.
Из интересного — нашел на сайте WhatsApp утверждение о том, что запросы от правоохранительных органов принимаются , и выдача информации о пользователях возможна. В эту информацию может входить: имя профиля, статусы, последнее появление в сети, IP-адрес пользователя, список контактов, если у WhatsApp был доступ к контактам. Переписок там нет. И, по идее, не может быть.
Причем большую часть эти данных о себе можно удалить, либо не давать к ним доступа. Но это неудобно. Конфликт удобства и безопасности.
- Получается, способ обезопасить общение в WhatsApp тот же самый — отключить резервные копии в приложении и запретить мессенджеру доступ к cloud-хранилищу.
А теперь самое вкусное. Telegram. Лучший мессенджер по мнению молодежи и продвинутых «средневозрастных» пользователей по всем параметрам, в том числе и безопасность. И здесь действительно есть, о чем поговорить.
Прежде всего, Telegram отличается о остальных постоянным самопиаром от Павла Дурова . Ни один вендор мессенджера не сказал столько пафосных речей и не написал стольких самовлюбленных текстов, сколько это делал и продолжает делать Павел. И подобные приемы очень хорошо работают. Думаю, что не без участия Дурова Viber и WhatsApp сегодня получили в народе статус небезопасных. Почему я начал в таком тоне? А вот смотри.
На официальном сайте Telegram можно увидеть рассуждения относительно конфликта безопасности и удобства. Команда Telegram приводит аргумент — безопасные мессенджеры вроде Signal (именно так и написано) не позволяют пользователям сохранять переписку при смене устрйоства, а потому такие сервисы никогда не выходят в топ и не становятся массовыми и популярными. Именно поэтому (ради популярности, напомню) Telegram работает иначе.
- Переписки пользователей хранятся на серверах Telegram
- У команды Telegram имеются ключи для этих переписок.
Да, естесственно, диалоги зашифрованы . Однако для шифрования обычных (не «секретных») чатов Telegram использует собственный метод MTProto. Так как зашифрованная переписка может переноситься на другие устройства — напомню, для обеспечения сквозного шифрования необходима генерация ключа для каждого нового устройства — я, при своем небольшом уровне знаний, могу сделать вывод, что используется не общепринятый способ сквозного шифрования.
Метод MTProto подробно описан там же, в FAQ на сайте Telegram, и я не подвергаю его сомнению. Речь лишь о том, что, ради удобства пользователя, Telegram действительно хранит и переписки, и ключи к ним . А значит — при определенных обстоятельствах — теоретически может иметь возможность передать эти переписки третьим лицам.
Да, сайт утверждает, что «на сегодняшний день мы раскрыли 0 байтов пользовательских данных третьим сторонам, в том числе правительствам». Однако гарантии этого — только пламенные речи Павла на коне с голым торсом. Просто имей это в виду. Позиция Viber и WhatsApp кажется мне более прозрачной.
- То бишь, чтобы полностью обезопасить свое общение в Telegram — общайся в секретных чатах. Но в таком случае ты теряешь синхронизацию и резерв переписок
Изначально я хотел столкнуть в одной статье Viber, WhatsApp, Telegram, Signal и iMessage. Однако материал уже получился слишком длинным — думаю, что редкая птица пролетит его целиком и прочтет вот эти завершающие строки. Чтобы в голове автора и читателя не было каши — Signal и Apple iMessage я оставил на следующий раз. Там же чуть больше раскрою тему звонков.
Ну и, наконец, на абсолютную истину я не претендую. Все источники информации открыты и доступны для изучения — ссылки на них я приводил в теле статьи. Если кто-то скажет, что статья рекламная — прокляну)))
Ну и лайк-подписка-репост из канала поддержат мои труды и боевой дух.
Источник: www.iguides.ru
Поскольку Telegram не кодирует разговоры по умолчанию, а в групповых чатах вообще их не шифрует, специалисты по безопасности не рекомендуют им пользоваться.
Кому-то эта статья может показаться рекламой сервиса WhatsApp, кто-то просветится насчет шифрования и конфиденциальности. Но очевидно, что у сужения пределов допустимых высказываний — то есть у политической проблемы — есть лишь временные технические решения. «Изгнание» американских несогласных из Facebook и Twitter — это сокращение свободы, которое одной техникой не поправишь.
Энди Гринберг (Andy Greenberg)
В прошлые выходные Рафаэль Мимаун (Raphael Mimoun) проводил в режиме видеосвязи учебный семинар по цифровой безопасности, в котором приняли участие около двух десятков активистов. Они являются членами демократической коалиции одной из стран Юго-Восточной Азии. Эта группа непосредственно подвергается опасности слежки и репрессий со стороны властей.
Мимаун, создавший некоммерческую организацию по цифровой безопасности Horizontal, попросил участников перечислить те мессенджеры, о которых они слышали, или которыми пользовались. Они быстро назвали ему Facebook Messenger, WhatsApp, Signal и Telegram. Когда Мимаун попросил их назвать преимущества каждой из этих платформ в плане безопасности, кто-то из участников указал на кодирование, которое осуществляет Telegram. Им пользовались террористы-исламисты, сказал другой участник, и поэтому Telegram наверняка безопасен.
Мимаун согласился. Да, Telegram кодирует сообщения. Но по умолчанию он шифрует данные только между вашим устройством и своим сервером. Чтобы сервер не мог видеть сообщения, вам надо самому включить сквозное шифрование. На самом деле, этот мессенджер, которым чаще всего пользуются активисты из Юго-Восточной Азии, вообще не обеспечивает сквозное шифрование.
Им придется просто поверить, что Telegram не сотрудничает ни с одним государством, которое могло принудить компанию к содействию в слежке за пользователями. Один из участников спросил о местонахождении Telegram. Мимаун ответил, что штаб-квартира компании расположена в Объединенных Арабских Эмиратах.
По словам Мимауна, сначала он услышал неловкий смех, а потом увидел, как участники тренинга озадаченно задумались. После короткой паузы один из них сказал: «Нам надо поговорить и подумать, что с этим делать». На следующем занятии другой участник семинара сказал Мимауну, что это был «момент грубого пробуждения».
В этом месяце компания Telegram объявила о знаковом событии в своей деятельности: число активных пользователей у нее достигло 500 миллионов человек. Она также сообщила, что был период, когда за трое суток у сервиса появилось 25 миллионов новых пользователей. У такого всплеска популярности было одновременно две причины. Во-первых, американцы правых взглядов начали искать более защищенные платформы для общения, потому что многих удалили из Твиттера и Фейсбука за политически некорректные высказывания и дезинформацию. А во-вторых, «Амазон» прекратила поддержку социальной сети Parler и отключила ее от интернета.
Но если спросить Рафаэля Мимауна и других специалистов в области безопасности, которые анализировали Telegram и поделились с WIRED своим мнением о его защищенности и недостатках, становится ясно, что данный мессенджер далеко не такой надежный в плане защиты информации, как об этом говорит Дуров, и каким его считают многие доверчивые пользователи. «Люди переходят на Telegram, веря, что он обеспечит им безопасность, — говорит Мимаун, на прошлой неделе опубликовавший сообщение о недостатках Telegram, написать которое его заставило „накопившееся недовольство» неверными представлениями о безопасности этого приложения. — Но существует большая разница между верой людей и действительностью в вопросах безопасности и конфиденциальности данного мессенджера».
Реализованные Telegram меры защиты конфиденциальности вовсе необязательно дефектные или ошибочные в своей основе, сказал криптограф Надим Кобейси (Nadim Kobeissi), учредивший в Париже консультационную фирму криптографии Symbolic Software. Но если говорить о шифровании сообщений пользователей таким образом, чтобы их нельзя было прочесть, то Telegram просто не дотягивает до уровня WhatsApp, не говоря уже о защищенном некоммерческом приложении Signal, которое рекомендует Кобейси и большинство других специалистов по сетевой безопасности. Дело в том, что WhatsApp и Signal насквозь и по умолчанию шифруют каждое сообщение, благодаря чему их серверы не имеют никакого доступа к содержанию общения пользователей. Telegram же по умолчанию использует кодировку только «транспортного уровня», которая защищает соединение от пользователя к серверу, но не от пользователя к пользователю. «Что касается шифрования, то Telegram просто не настолько хорош, как WhatsApp, — говорит Кобейси. — То, что у него нет кодировки по умолчанию, уже ставит его намного ниже WhatsApp».
Telegram все же предлагает сквозное шифрование в чатах один на один, но требует от пользователей активировать функцию «Секретные чаты» для каждого контакта отдельно. Чтобы запустить такой секретный чат, надо осуществить четыре действия в меню, что не очень удобно. (Надо нажать на имя контакта, затем «Далее», затем «Включить секретный чат», а после этого сделать подтверждение, когда телефон попросит вас об этом.) История сообщений в секретный чат не переносится, а функцию шифрования надо активировать каждый раз, когда вы возобновляете общение с контактом.
«Предпочтете ли вы автомобиль, где подушки безопасности срабатывают сами, когда вы попадаете в аварию?— спрашивает Кобейси. — Или вы купите машину, где для включения подушек безопасности надо каждый раз вводить ПИН-код? Почему не активировать их по умолчанию? Наступит такой момент, когда вы забудете ввести ПИН-код, и что случится, когда вы попадете в аварию?»
Еще хуже другое. Telegram вообще не предлагает функцию секретности для групповых чатов, где общаются многие пользователи, подвергающиеся самым большим рискам. Он также хранит на своих серверах все истории чатов, выбранных по умолчанию. Это довольно удобно: все ветки появляются вновь, когда вы устанавливаете приложение на новом устройстве. Но они не защищены, и их может прочесть кто угодно, начиная с самой компании и кончая хакерами, проникающими в сеть Telegram, и правоохранительными органами, которые могут вынудить ее предоставить им данные пользователей.
Угроза давления со стороны государства обрела вполне конкретные очертания, когда Telegram три года назад перевела команду разработчиков, а также штаб-квартиру одной компании из состава своего холдинга из Берлина в Дубаи. Серверы Telegram разбросаны по всему миру, но после перевода компания стала особенно уязвимой для давления со стороны Объединенных Арабских Эмиратов, которые внимательно следят за активистами-правозащитниками и диссидентами, взламывая их компьютеры.
Когда издание WIRED попросило Telegram прокомментировать эту критику, руководитель маркетингового подразделения компании Майк Равдоникас (Mike Ravdonikas) ответил, что его фирма не хранит данные в ОАЭ, и ни разу не получала от властей этой страны просьбы о передаче данных. Он добавил: «Работающая в Дубаи немногочисленная команда готова переехать в другое место, если на нее начнут оказывать давление». Что касается отсутствия сквозного шифрования по умолчанию, то Равдоникас сообщил: «У несекретных чатов Telegram есть функции, которые невозможно реализовать в условиях сквозного шифрования». Это сохранение историй чатов при переходе с устройства на устройство, очень большие группы пользователей, а также отправка объемных документов и видео. «Мы не намерены калечить Telegram, отказываясь от десятков его великолепных функций только из-за того, что некоторых пользователей ввели в заблуждение своими рекламными трюками наши конкуренты, или они ленятся запустить „Секретные чаты», когда считают, что они им нужны», — написал в этом месяцев в одном из своих публичных каналов в Telegram основатель компании Дуров.
Но многие криптографы с недоверием относятся к схеме шифрования Telegram даже в секретных чатах. Компания пользуется собственным уникальным протоколом шифрования MTProto. Криптографы в большинстве своем считают неразумным такой выбор, когда предпочтение отдается кодировке собственного изготовления. Они уже давно пришли к выводу, что гораздо безопаснее использовать стандартные, тщательно проверенные протоколы. Ведь чтобы выявить уязвимости в новом протоколе, нужны годы работы и тщательных проверок, какими бы умными ни были криптографы компании-разработчика доморощенного протокола.
Протокол MTProto вряд ли имеет какие-то очевидные практические дефекты, признает криптограф из Университета Джонса Хопкинса Мэтт Грин (Matt Green), консультировавший Facebook по вопросу систем обмена мгновенными сообщениями с функцией шифрования. Но он называет его «уникально странным». Грин считает, что изобретатели MTProto не понимают методы работы испытанной и проверенной временем криптографии, и это вызывает у него подозрения в том, что у протокола могут быть не обнаруженные пока уязвимости. «Это похоже на то, как если бы все в мире согласились использовать для стен сухую штукатурку, и вдруг появляется кто-то, пользующийся для этих целей зубной пастой, — говорит Грин. — Даже если зубная паста хорошо подходит, и стены получаются ровные, это все равно странно. Как узнать, что не будет других странных и нестандартных вещей, когда они начнут делать в доме электропроводку? Вот что меня пугает».
Равдоникас утверждает: «Кодировка Telegram основана на классических алгоритмах, потому что мы считаем сомнительными те подходы, которые предлагают американские криптографы после 11 сентября и введения в действие закона о борьбе с терроризмом. Ваши источники называют такие подходы „венцом криптографии»».
Столь резкое возражение вызвало заметное раздражение у Грина из Университета Джонса Хопкинса. «Мы используем эти стандартные подходы, потому что они являются публичным и поддающимся проверке доказательством безопасности», — сказал он. Стандартные протоколы, которых избегает Telegram, подвергались многочисленным и тщательным проверкам за пределами США, заявляет он в ответ на утверждение, что закон о борьбе с терроризмом необъективно относится к американским криптографам, которые изучали эти протоколы. Сам Telegram тоже использует стандартные протоколы шифрования, разработанные и сертифицированные американскими государственными ведомствами, но он просто пользуется ими нестандартно.
Тем не менее, Грин подчеркивает, что критика протокола шифрования Telegram носит почти академический характер. Истинная, всеобъемлющая проблема Telegram в вопросах защиты безопасности состоит в том, что мессенджер не предлагает сквозное шифрование по умолчанию. «Если вы не пользуетесь секретными чатами, Telegram и тот, кто может взломать его серверы, увидит всю вашу переписку. И это самая серьезная проблема, — говорит Грин. — У Signal есть сквозное шифрование по умолчанию. У WhatsApp есть сквозное шифрование по умолчанию. У Telegram его нет».
Рафаэль Мимаун рассказывает, что отправляет сообщение с предупреждением всем своим друзьям, родственникам и даже журналистам и активистам, которые появляются в списке его контактов в Telegram. Сообщение следующего содержания: «Добро пожаловать в Telegram. Telegram не очень-то безопасен, защищен и надежен». Но в последнее время он уже не успевает это делать, так как перебежчиков из WhatsApp на этот сервис становится все больше.
Источник: inosmi.ru