Експерти підтвердили вразливості Telegram у новому звіті
- Незалежна експертиза підтвердила вразливості Telegram.
- Повідомлення можуть передаватися з відкритими технічними даними.
- Ідентифікатор пристрою передається без шифрування.
- Дані можна збирати через пасивний моніторинг трафіку.
- Telegram заперечує зв’язки з фсб і наявність проблем.
Незалежна експертиза підтвердила наявність вразливостей у месенджері Telegram, про які раніше повідомляли журналісти OCCRP.
Згідно зі звітом компанії Symbolic Software, основні технічні висновки попереднього розслідування є коректними та можуть бути підтверджені незалежно. У документі зазначається, що наслідки цих вразливостей виходять за межі теоретичних ризиків, з огляду на широке використання Telegram журналістами, активістами та іншими користувачами.
У розслідуванні йшлося, що повідомлення Telegram, включно із секретними чатами, можуть передаватися у відкритому вигляді разом із технічними даними, зокрема ідентифікатором пристрою, IP-адресою та часом відправлення. Ці дані можуть бути доступні компанії Global Network Management, через сервери якої проходить трафік.
Фахівці Symbolic Software підтвердили, що Telegram використовує незахищені TCP-з’єднання, у яких ідентифікатор auth_key_id передається без шифрування. Це дає змогу інтернет-провайдерам, адміністраторам мереж або системам спостереження відстежувати пристрої користувачів.
За даними звіту, для збору таких даних не потрібні складні атаки — достатньо пасивного моніторингу мережевого трафіку. Аналітики також зазначають, що причина вразливості полягає у підході Telegram до захисту приватності, а не в окремих технічних помилках.
Експерти вказують, що для усунення ризиків необхідно впровадити обов’язкове транспортне шифрування. Також зазначається, що наявні вразливості можуть дозволяти визначати місце перебування користувачів, а в окремих випадках — створювати ризик доступу до змісту повідомлень.
Представники Telegram заперечують ці висновки та заявляють, що компанія Global Network Management і її власник не пов’язані з фсб.
