В пену

Раскрытие 5 миллионов ссылок в приватные чаты Telegram и...

habrahabr.ru — Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости. Я не видел в этом острой необходимости из-за репутации мессенджера как «самого защищенного». Я думал, что зря потрачу своё время и ничего не найду. Но недавно, тестируя один сайт, который взаимодействовал с доменом t.me, мне довелось усомниться.. #решето

Новости, Компьютеры | Lelik 01:40 09.04.2018

2 комментария | 28 за, 2 против |

tonyware »

#1 | 04:32 09.04.2018 | Кому: nbzz

> но если следовать логике автора заметки, что телеграм дырявый в плане защищенности, то все вопросы к нему должны быть сняты. заходи да читай что угодно. к чему требовать все эти ключи? ))

1. Telegram "по дизайну" дырявый в плане[censored] который могут произвести против любого админы сервера Telegram - т.е. любой сотрудник ЦРУ, придавивший яйца Паше Дурову, сможет читать вообще любую переписку кого угодно, ну и кроме того сам Паша Дуров такой человек что словаре при поиске по слову "мудак" должна показываться его фотография. Это не то что бы какой-то офигенный риск - но в принципе есть[censored] для мессенжеров,[censored] для видео и PGP для переписки, которые защищены именно криптографией а не пиаром.
2. в данном случае человек указывает что Telegram еще вдобавок раскрывает дофига информации не только админам сервиса Telegram, но и вообще произвольным людям на Интернете, не контролирующим сервера Telegram. От этого Telegram в теории должен был быть защищен, если бы у разработчиков руки росли не из жопы - ну вот человек наглядно демонстрирует что таки из жопы.

tonyware »

#2 | 07:45 09.04.2018 | Кому: nbzz

>> 1. Telegram "по дизайну" дырявый в плане man in the middle attack, который могут произвести против любого [админы сервера Telegram]
> ты хотя бы FAQ telegram читал? защита от man in the middle там есть. она, да, требует некоторых отдельных усилий от пользователей. не совсем удобно. но более удобных способов удостовериться, что между собеседниками никто не вклинился пока не предложено.

Ты зря не обратил внимание на часть "админы сервера Telegram" и поэтому путаешь кислое с мягким: Telegram дает возможность защититься от перехвата сообщений твоим провайдером на стадии посылки сообщения, но он вообще в принципе не дает никаких гарантий безопастности при авторизации пользователся к серверу Telegram.
Т.е. если Инквизиционный Святназ РПЦ прижал Паше Дурову яйца и сказал «раб божий Паша, во имя Господа нашего:
- отруби сессию всех устройств пользователя "Пальтоконь"
- добавь к его учетке устройство РПЦ_ИНКВИЗИТОР_БОТ_31337 (не посылая при этом уведомление всем остальным устройствам)
- позволь устройству скачать контакт-лист Пальтоконя со списком всех богомерзких аметистов
- потом дай устройству передать шифрованное сообщение "верующим можно писать -тся как они хотят потому как на то воля божия"
- и после этого отключи устройство и переподключи все настояшие устройства пользователя без нотификации»
то протокол Telegram вообще совсем никак не запрещает серверу сделать такой финт ушами.
В отличие от например OTR или ZRTP, которые резко завопят если нечто подобное происходит.

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить