Небольшая международная группа исследователей информационной безопасности провела подробный анализ безопасности мессенджера Telegram, который пользуется большой популярностью во всем мире. Криптологи ETH Zurich и Royal Holloway College (Лондонский университет) смогли выявить несколько уязвимостей. Однако для большинства из более чем 570 миллионов пользователей Telegram непосредственной опасности нет.
В этом исследовании служб шифрования Telegram участвовали профессор Кенни Патерсон и д-р. Игорь Степанов из ETH Zurich и профессор Мартин Альбрехт и аспирант Ленка Марекова из Лондонского университета. Сразу стоит сказать одно: детальный анализ криптографической безопасности мессенджера такого размера был более чем запоздалым. Четыре криптографических слабости, обнаруженные криптологами, ясно показывают, что система Telegram явно уступает стандартам безопасности других и часто используемых протоколов шифрования, таких как Transport Layer Security (TLS).
Первая описанная здесь уязвимость безопасности связана с тем, что злоумышленники в сети могут манипулировать последовательностью сообщений, отправляемых клиентом на один из облачных серверов, которыми управляет Telegram по всему миру. Криптологи из ETH Zurich отмечают: «Так что, если кто-то сможет изменить порядок сообщений «Я говорю «да»?», «Пицца!», «Я говорю «нет, преступлению»», «да» может сказать «Да» на поедание пиццы внезапно становится преступлением». Вторая уязвимость, обнаруженная в ходе анализа безопасности, носит лишь теоретический характер, но о ней все же необходимо упомянуть. Сетевой злоумышленник теоретически может узнать, какое из двух сообщений от клиента или сервера зашифровано. Признаюсь, на первый взгляд это звучит довольно драматично. Однако злоумышленникам потребуются огромные усилия, чтобы воспользоваться этой уязвимостью, обнаруженной в ходе анализа безопасности. По мнению экспертов по безопасности, злоумышленнику сначала придется отправить своей цели миллионы тщательно составленных сообщений и выявить мельчайшие различия во времени доставки соответствующих ответов. Тем не менее ученые уверены, что к этой криптографической уязвимости также следует отнестись серьезно.
Однако, если такая атака будет успешной, это будет иметь разрушительные последствия для конфиденциальности сообщений Telegram и, конечно же, для их пользователей.
Последняя обнаруженная дыра в безопасности касается очень важного обмена ключами между клиентом пользователя и сервером Telegram. Поскольку Telegram в стандартной комплектации не обеспечивает сквозное шифрование, это соединение очень важно для каждого пользователя платформы мессенджера. В случае успешной атаки, отмечают криптологи, как конфиденциальность, так и целостность нашего общения могут быть навсегда нарушены. Однако ученые здесь также говорят, что активно использовать эту брешь в безопасности будет очень сложно:
К счастью, этот метод атаки также относительно сложно реализовать, поскольку злоумышленник должен будет отправить миллиарды сообщений на сервер Telegram за считанные минуты.
Как обычно, исследовательская группа сообщила Messenger за 90 дней до публикации об обнаруженных ими уязвимостях. Telegram отреагировал на обнаруженные проблемы с безопасностью и исправил их с помощью регулярных обновлений программного обеспечения. Как уже упоминалось в начале, по мнению экспертов, для большинства из более чем 570 миллионов пользователей Telegram по всему миру нет непосредственной опасности. По мнению исследователей, инцидент также свидетельствует о сомнительном подходе разработчиков Telegram к исправлению подобных проблем. Цитата (переведенная) из сообщения в блоге:
Разработчики Telegram сообщили нам, что они не выпускают никаких специальных выпусков безопасности или исправлений ошибок. Единственным исключением являются исправления для предыдущего ошибочного обновления. Команда разработчиков также проинформировала нас, что они не выпускали никаких рекомендаций по безопасности во время установки исправлений и что они не хотели указывать дату выпуска некоторых исправлений. Как следствие, исправления были выпущены как часть регулярных обновлений Telegram.
«Разработчики Telegram проинформировали нас, что они не выпускают выпуски безопасности или исправления ошибок, за исключением немедленных исправлений сбоев после выпуска. Команда разработчиков также проинформировала нас, что они не хотят выпускать рекомендации по безопасности во время установки исправлений ... " https://t.co/2eETQyOwBg
- Николас Дж. Перкоко (@ c7five) Июль 16, 2021
По заявлению самого Telegram, уязвимости не были критическими. Возможно, этим также объясняется подход к упомянутым лазейкам. В Telegram есть еще один Сообщение в блоге опубликованокто подробно описывает выявленные проблемы.
Кстати, наш канал в Telegram можно найти по адресу: https://t.me/dravenstales
Больше для вас:
«Сказки Дрейвена из склепа» вот уже более 15 лет очаровывают безвкусной смесью юмора, серьёзной журналистики – основанной на текущих событиях и несбалансированных репортажах политической прессы – и зомби, приправленных множеством искусства, развлечений и панк-рока. Дрейвен превратил свое хобби в популярный бренд, который невозможно классифицировать.
Мой блог никогда не предназначался для распространения новостей, не говоря уже о политических событиях, но в связи с текущими событиями я просто не могу не собирать здесь информацию, которая иначе подвергается цензуре на всех других каналах. Я отдаю себе отчет в том, что дизайн страницы многим может показаться несерьезным в этом отношении, но я не буду менять это в угоду "мейнстриму". Любой, кто открыт для информации, не соответствующей государству, видит содержание, а не упаковку. Я достаточно старался предоставить людям информацию за последние 2 года, но быстро заметил, что не имеет значения, как она «упакована», но каково отношение к ней другого человека. Я не хочу никому мазать рот медом, чтобы оправдать ожидания, поэтому я оставлю этот дизайн, потому что, надеюсь, в какой-то момент я смогу прекратить делать эти политические заявления, потому что это не моя цель продолжать так навсегда 
Я оставляю на усмотрение каждого, как они с этим справятся. Тем не менее, вы можете просто копировать и распространять контент, мой блог всегда был под Лицензия WTFPL.
Мне сложно описать, что я на самом деле здесь делаю, DravensTales превратился в блог о культуре, музыкальный блог, шок-блог, технический блог, ужасный блог, забавный блог, блог о найденных предметах в Интернете, странный интернет, мусорный блог, арт-блог, водонагреватель, блог о духе времени за эти годы , Запишите блог и возьмите блог под названием. Все, что правильно ... - и все же нет. Основное внимание в блоге уделяется современному искусству в самом широком смысле этого слова.
Для обеспечения работы сайта, пожалуйста, Сделайте пожертвование с помощью кредитной карты, Paypal, Google Pay, Apple Pay или прямого дебета/банковского счета. Большое спасибо всем читателям и сторонникам этого блога!
