В Telegram обнаружена уязвимость, позволяющая получить доступ к переписке любого пользователя без особого труда. Для этого достаточно приобрести SIM-карту с его номером телефона и зарегистрировать новый аккаунт в мессенджере.
Тайна личной переписки
Жительница Белоруссии обнаружила в мессенджере Telegram опасную уязвимость, позволяющую получить доступ ко всей переписке пользователя без запроса спецслужб и передачи ключей шифрования. Выявленная схема действует вне зависимости от страны, и жертвой может стать каждый пользователь сервиса.
Недочет системы безопасности Telegram позволяет купить всю историю переписки пользователя в буквальном случае по цене SIM-карты. По информации портала Onliner, жительница Белоруссии, чей Telegram-аккаунт изначально был привязан к белорусскому номеру телефона, переехала в другую страну и купила новую SIM-карту. Приложение «Телеграм» было переустановлено, и владелица учетной записи перерегистрировала ее на новый номер. После получения всех проверочных сообщений в ее смартфоне появилась переписка совершенно незнакомого ей человека, а ее имя и фотография в профиле сменились на другие.
Как такое возможно?
Получение доступа к переписке другого пользователя стало возможным благодаря тому, что приобретенный белоруской номер телефона ранее принадлежал этому человеку, который в свое время зарегистрировал на него собственный Telegram-аккаунт и пользовался сервисом. Впоследствии оператор связи, вероятно, вернул номер в продажу по причине отсутствия активности предыдущего владельца (такая практика существует и в России).
Случившееся может означать, что ни один из пользователей Telegram, позиционирующегося в качестве одного из самых защищенных мессенджеров, не может до конца быть уверенным в том, что его переписка не попадет в чужие руки. Напомним, что в России Telegram официально заблокирован именно по причине нежелания разработчиков передавать спецслужбам ключи для дешифровки личной переписки пользователей.
Ответ Telegram
Обнаружившая уязвимость пользовательница обратилась в техническую поддержку Telegram, описав все произошедшее. Представители сервиса не смогли решить ее проблему, уточнив, что перерегистрировать номер телефона на другого человека можно лишь при участии его предыдущего владельца.
В сложившейся ситуации техподдержка мессенджера посоветовала лишь удалить чужую учетную запись, привязанную к ее новому номеру, со своего смартфона. Другими словами, на 30 апреля 2019 г. у Telegram нет действенного способа решения проблемы – оказавшийся в схожей ситуации любой другой пользователь может не последовать совету и сохранить чужую переписку, в которой может содержаться личная или корпоративная информация, и затем использовать ее в своих целях.
(Без)опасный мессенджер
Многие эксперты сомневаются в способности сервиса противостоять несанкционированному доступу к личной переписке. Свои сомнения в этом в июне 2016 г. выразили профессор по криптографии Университета Джонса Хопкинса Мэтью Грин (Matthew Green) и профессор Университета Суррея в Великобритании Алан Вудвард (Alan Woodward), а еще раньше, в ноябре 2015 г. исследователь по безопасности Ола Флисбек (Ola Flisback) раскрыл способ определения участвующих в беседе через Telegram пользователей на базе метаданных, которые из мессенджера удалось легко извлечь с помощью командной строки.
В апреле 2018 г. бывший сотрудник «В контакте» и «Телеграфа» Антон Розенберг заявил, что у администрации Telegram имеется техническая возможность просматривать сообщения пользователей из «облачных» чатов. Спустя месяц, в мае 2018 г. экспертами по безопасности компании Talos была обнаружена русскоязычная вредоносная программа, ворующая кэш мессенджера, содержащий данные переписки и файлы ключей шифрования. Все эти данные утилита загружала в незашифрованном виде на сервис pcloud.com.
В июле 2018 г. стало известно, что Telegram может тайно читать сообщения пользователей, и что вся переписка пользователей подвергается анализу на стороне сервера. Через три месяца, 1 октября 2018 г., в клиенте Telegram для настольных ПК была обнаружена ошибка, позволявшая выдавать IP-адрес собеседника при голосовых коммуникациях. IP-адрес позволяет полностью деанонимизировать пользователя и выяснить его реальные ФИО и адрес проживания.
В конце октября 2018 г. выяснилось, что настольная версия мессенджера хранит всю переписку пользователя на его жестком диске в незашифрованном виде. Сообщил об этом эксперт по безопасности Натаниэль Сачи (Nathaniel Suchy). По его словам, Telegram использует базу данных SQLite для хранения сообщений, «которую не очень просто прочитать, но которая в целом лишена шифрования».
источник