Zdjęcia Valeria Mielnikowa / RIA novosti
Wszystko znowu próbują wykryć luki w zabezpieczeniach Telegram, ale eksperci radzą, by nie wyciągać pochopnych wniosków
Wokół bezpieczeństwa Telegram znowu się psują włócznie: 30 października amerykański deweloper oświadczył, że Telegram przechowuje korespondencję w postaci niezaszyfrowanej. Ale następnego dnia Paweł Durow odpowiedział, że roszczenie jest bezzasadne. Jaki będzie werdykt ekspertów bezpieczeństwa?
Wcześniej amerykański inżynier Nathaniel Сачи poinformował, że aplikacja Telegram Desktop nie koduje korespondencji użytkownika i zapisuje go w bazie danych SQLite. Oznacza to, że program tłumaczy korespondencję w pliki tekstowe, które znajdują się w systemie w postaci niezaszyfrowanej. I tam są przechowywane wiadomości, jak z otwartych rozmów, jak i z “tajnych”. Ten sam problem Сачи odkrył i w innym komunikatorze, zajmuje się dobrze chronionych, — Signal. Jeszcze Сачи zwrócił uwagę, że hasło, które należy wpisać podczas logowania w planszową wersję Telegram, nie chroni pliki utworzone w SQLite.
Paweł Durow po raz kolejny zmuszony bronić reputację swojego komunikatora. W swoim telegram kanale on oświadczył, że rosyjskie MEDIA rozpowszechniają zgłoszenie luki w zabezpieczeniach, która w rzeczywistości taki nie jest: “C technicznego punktu widzenia stwierdzenie utrzymujący o luce w zabezpieczeniach sprowadza się do tego: gdybym miał dostęp do komputera, bym mógł przeczytać twoje posty”.
Wiadomo, że zespół Дурова wypłaca wynagrodzenia wszystkich, kto pomaga znaleźć luki w komunikatorze, a tym samym przyczynia się do poprawy jego niezawodność. Ale Сачи, podobno nic nie dostanie.
“W tym przypadku zarówno jedna, jak i druga strona nieco zniekształca fakty. Luki jako takiej nie ma. W przypadku zdalnego dostępu do KOMPUTERA atakujący i tak wszystko otrzymuje, w tym tekstów czatów. A komputery Macintosh, dla których ważne przechowywanie tajnych rozmów, są chronione za pomocą funkcji FileVault. Naprawdę, gdy dostęp do komputera ofiary (lub w jakikolwiek inny sposób — do lokalnej bazy danych SQLite, w której przechowuje korespondencję Telegram) można odzyskać informacje i przeczytać ją, ale uzyskać taki dostęp nie jest łatwe” — wyjaśnia kierownik działu rozwiązań systemowych Group-IB Anton Fishman.
Po pierwsze, w wersji desktop możliwość tworzenia Secret-Chat jest tylko na Mac, w aplikacji z oficjalnego sklepu z aplikacjami. Windows-wersja na to nie pozwala. Po drugie, osoba atakująca musi najpierw być w stanie uzyskać taki dostęp: MacOS jest wystarczająco bezpiecznym systemem operacyjnym, których deweloperzy uważnie śledzą jak za pojawieniem się złośliwego oprogramowania, pod nią — i dość szybko wypuszczają patche, — tak i za tymi aplikacjami, które są publikowane w App Store. Po trzecie, na komputerach Mac już bardzo dawno domyślnie włączone полнодисковое szyfrowanie FileVault, co zapobiega ryzyko uzyskania dostępu do bazy danych w przypadku utraty urządzenia lub dysku. Po czwarte, jeśli atakujący już masz zdalny dostęp do komputera (mógł go otrzymać przez złośliwe linki, stron phishingowych, ataki hakerów na serwery itp.), to i tak (bez użycia Telegram) może uzyskać dostęp do pamięci, gdzie przechowywane są wszystkie pobrane w niej informacje, w tym tekst i czatów.
“Z mojego punktu widzenia, to nie można nazwać tę lukę, tak jak w postaci zaszyfrowanej na dysku aplikacje przechowują dane bardzo rzadko — przyznaje szef rosyjskiego centrum badawczego “Kaspersky Lab” Jurij Namiestników. — Deweloperzy Telegram wprost twierdzą, że komputerowa wersja nie obsługuje szyfrowane tajne rozmowy i przelotowy (end-to-end) szyfrowanie. Jeśli chcesz chronić dane w przypadku utraty laptopa, to należy użyć полнодисковое szyfrowanie jest dostępne praktycznie dla wszystkich popularnych systemów operacyjnych”.
W suchej masie: luk w samym Telegram nie. Jednak w przypadku zdalnego dostępu do KOMPUTERA, osoba atakująca uzyska wszystkie dane, jakie chce, w tym tekstów czatów Telegram.
redakcja poleca
Złe żarty z FSB: dlaczego Дурову nowa polityka prywatności Telegram