Небольшая международная группа исследователей информационной безопасности провела подробный анализ безопасности мессенджера Telegram, который пользуется большой популярностью во всем мире. Криптологи ETH Zurich и Royal Holloway College (Лондонский университет) смогли выявить несколько уязвимостей. Однако для большинства из более чем 570 миллионов пользователей Telegram непосредственной опасности нет.
В этом исследовании служб шифрования Telegram участвовали профессор Кенни Патерсон и д-р. Игорь Степанов из ETH Zurich и профессор Мартин Альбрехт и аспирант Ленка Марекова из Лондонского университета. Сразу стоит сказать одно: детальный анализ криптографической безопасности мессенджера такого размера был более чем запоздалым. Четыре криптографических слабости, обнаруженные криптологами, ясно показывают, что система Telegram явно уступает стандартам безопасности других и часто используемых протоколов шифрования, таких как Transport Layer Security (TLS).
Первая описанная здесь уязвимость безопасности связана с тем, что злоумышленники в сети могут манипулировать последовательностью сообщений, отправляемых клиентом на один из облачных серверов, которыми управляет Telegram по всему миру. Криптологи из ETH Zurich отмечают: «Так что, если кто-то сможет изменить порядок сообщений «Я говорю «да»?», «Пицца!», «Я говорю «нет, преступлению»», «да» может сказать «Да» на поедание пиццы внезапно становится преступлением». Вторая уязвимость, обнаруженная в ходе анализа безопасности, носит лишь теоретический характер, но о ней все же необходимо упомянуть. Сетевой злоумышленник теоретически может узнать, какое из двух сообщений от клиента или сервера зашифровано. Признаюсь, на первый взгляд это звучит довольно драматично. Однако злоумышленникам потребуются огромные усилия, чтобы воспользоваться этой уязвимостью, обнаруженной в ходе анализа безопасности. По мнению экспертов по безопасности, злоумышленнику сначала придется отправить своей цели миллионы тщательно составленных сообщений и выявить мельчайшие различия во времени доставки соответствующих ответов. Тем не менее ученые уверены, что к этой криптографической уязвимости также следует отнестись серьезно.
Однако, если такая атака будет успешной, это будет иметь разрушительные последствия для конфиденциальности сообщений Telegram и, конечно же, для их пользователей.
Последняя обнаруженная дыра в безопасности касается очень важного обмена ключами между клиентом пользователя и сервером Telegram. Поскольку Telegram в стандартной комплектации не обеспечивает сквозное шифрование, это соединение очень важно для каждого пользователя платформы мессенджера. В случае успешной атаки, отмечают криптологи, как конфиденциальность, так и целостность нашего общения могут быть навсегда нарушены. Однако ученые здесь также говорят, что активно использовать эту брешь в безопасности будет очень сложно:
К счастью, этот метод атаки также относительно сложно реализовать, поскольку злоумышленник должен будет отправить миллиарды сообщений на сервер Telegram за считанные минуты.
Как обычно, исследовательская группа сообщила Messenger за 90 дней до публикации об обнаруженных ими уязвимостях. Telegram отреагировал на обнаруженные проблемы с безопасностью и исправил их с помощью регулярных обновлений программного обеспечения. Как уже упоминалось в начале, по мнению экспертов, для большинства из более чем 570 миллионов пользователей Telegram по всему миру нет непосредственной опасности. По мнению исследователей, инцидент также свидетельствует о сомнительном подходе разработчиков Telegram к исправлению подобных проблем. Цитата (переведенная) из сообщения в блоге:
Разработчики Telegram сообщили нам, что они не выпускают никаких специальных выпусков безопасности или исправлений ошибок. Единственным исключением являются исправления для предыдущего ошибочного обновления. Команда разработчиков также проинформировала нас, что они не выпускали никаких рекомендаций по безопасности во время установки исправлений и что они не хотели указывать дату выпуска некоторых исправлений. Как следствие, исправления были выпущены как часть регулярных обновлений Telegram.
«Разработчики Telegram проинформировали нас, что они не выпускают выпуски безопасности или исправления ошибок, за исключением немедленных исправлений сбоев после выпуска. Команда разработчиков также проинформировала нас, что они не хотят выпускать рекомендации по безопасности во время установки исправлений ... " https://t.co/2eETQyOwBg
- Николас Дж. Перкоко (@ c7five) Июль 16, 2021
По заявлению самого Telegram, уязвимости не были критическими. Возможно, этим также объясняется подход к упомянутым лазейкам. В Telegram есть еще один Сообщение в блоге опубликованокто подробно описывает выявленные проблемы.
Кстати, наш канал в Telegram можно найти по адресу: https://t.me/dravenstales