Неуязвимый? Безопасен ли Telegram
Вокруг безопасности Telegram снова ломаются копья: 30 октября американский разработчик заявил, что Telegram хранит переписку в незашифрованном виде. Но на следующий день Павел Дуров ответил, что претензии беспочвенны. Каков будет вердикт экспертов по безопасности?
Ранее американский инженер Натаниэль Сачи сообщил , что приложение Telegram Desktop не зашифровывает переписку пользователя и хранит ее в базе данных SQLite. Это означает, что программа переводит переписку в текстовые файлы, которые лежат в системе в незашифрованном виде. Причем там хранятся сообщения как из открытых чатов, так и из «секретных». Такую же проблему Сачи обнаружил и в другом мессенджере, считавшемся хорошо защищенным, — Signal. Еще Сачи обратил внимание, что пароль, который необходимо ввести при входе в настольную версию Telegram, не защищает файлы, сформированные в SQLite.
Павел Дуров в очередной раз вынужден отстаивать репутацию своего мессенджера. В своем телеграм-канале он заявил, что российские СМИ распространяют сообщение об уязвимости, которая на самом деле таковой не является: «C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: если бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения».
Известно, что команда Дурова выплачивает вознаграждения всем, кто помогает находить уязвимости в мессенджере, и тем самым помогает улучшить его надежность. Но Сачи, видимо, ничего не получит.
«В данном случае и та, и другая сторона несколько искажает факты. Уязвимости как таковой нет. При наличии удаленного доступа к ПК злоумышленник и так все получает, включая тексты чатов. А компьютеры Macintosh, для которых актуально хранение секретных чатов, защищены FileVault. Действительно, при доступе к компьютеру жертвы (или каким-либо иным образом — к локальной базе данных SQLite, в которой хранит переписку Telegram) можно восстановить информацию и прочитать ее, но получить такой доступ непросто», — объясняет руководитель департамента системных решений Group-IB Антон Фишман.
Во-первых, в настольной версии возможность создавать Secret-Chat присутствует только на Mac, в приложении из официального магазина приложений. Windows-версия этого не позволяет. Во-вторых злоумышленник должен сначала суметь получить такой доступ: MacOS является достаточно защищенной операционной системой, разработчики которой внимательно следят как за появлением вредоносных программ под нее, — и достаточно быстро выпускают патчи, — так и за теми приложениями, которые публикуются в App Store. В-третьих, на компьютерах Mac уже очень давно по умолчанию включено полнодисковое шифрование FileVault, что предотвращает риск получения доступа к базе при потере устройства или диска из него. В-четвертых, если у злоумышленника уже есть удаленный доступ к вашему компьютеру (он мог получить его через вредоносные ссылки, фишинговые сайты, хакерские атаки на сервер и т.д.), то он и так (без использования Telegram) может получить доступ к оперативной памяти, где хранится вся загруженная в нее информация, в том числе и текст чатов.
«С моей точки зрения, это нельзя назвать уязвимостью, так как в шифрованном виде на диске приложения хранят данные крайне редко, — соглашается руководитель российского исследовательского центра «Лаборатории Касперского« Юрий Наместников. — Разработчики Telegram прямо заявляют, что десктопная версия не поддерживает шифрованные секретные чаты и сквозное (end-to-end) шифрование. Если нужно защитить данные в случае потери ноутбука, то следует использовать полнодисковое шифрование, оно доступно практически для всех популярных операционных систем».
В сухом остатке: уязвимостей в самом Telegram нет. Однако при наличии удаленного доступа к ПК злоумышленник получит все данные, какие захочет, включая тексты чатов Telegram.
