Детище Павла Дурова – мессенджер Telegram – по праву относится к одним из самым безопасным программам подобного рода. Это и не удивительно: ведь, по воспоминаниям самого Павла, сам замысел создания Telegram заключался в том, чтобы получить инструмент для общения, который был бы не по зубам никаким спецслужбам.
Telegram действительно обладает развитыми средствами шифрования и позволяет, например, общаться в так называемом секретном чате, сообщения из которого автоматически удаляются через заданное время.
Статистика – слабое место
Однако, как выяснилось, статистика в Телеграм является слабым местом. В данном случае под статистикой подразумевается оповещение о том, когда пользователь заходил в сеть и когда общался с другими пользователями. Данный баг сначала был замечен лишь в мобильной версии Telegram, но затем обнаружился и в официальной «десктопной». Однако внутри самого приложения эта информация никак не отображается, но может быть собрана при помощи посторонних программ.
Что получает потенциальный злоумышленник в этом случае? В принципе, не так много:
- информацию о том, что общение началось во столько-то времени, а закончилось во столько;
- когда приложение было активным, а когда перестало быть таковым.
И все. Никакая информация о том, с кем переписывался человек в течение этого времени, ни, естественно, сама переписка не доступны. Эту уязвимость обнаружил программист из Финляндии Ола Флисбек.
Однако злоумышленник при желании может выяснить, с кем же конкретно общался человек, если у него с «жертвой» имеются общие контакты.
При этом ни «жертва», ни его контакты даже не будут подозревать о том, что ими кто-то интересуется. Telegram не отправляет для этого никаких уведомлений или разрешений. «Разведать» эти метаданные можно при помощи сторонних клиентов. Финский специалист использовал, например, для этого клиент CLI.
Кому-то может показаться, что это все мелочи, уязвимость не смертельно опасна. Однако же, с другой стороны, не может быть речи о стопроцентной конфиденциальности переписки. Скорее всего, уязвимость закроют (если уже не закрыли) очень быстро.
Тем не менее, вопрос о несанкционированном отправлении метаданных о пользователе в Telegram остается открытым: никто не может гарантировать то, что подобных «дыр» в безопасности у мессенджера больше не осталось.
