Безопасен ли Telegram?
Telegram – удобная платформа, в которой можно легко и мгновенно обмениваться сообщениями, общаться в различных чатах, читать и вести каналы. Но если бы функционал был ограничен только на этом, то Telegram ничем не отличался бы от других своих конкурентов, как Viber или WhatsApp.
Его главным преимуществом является защита сообщений протоколом безопасности MTProto. Но насколько безопасным он является на самом деле и какие уязвимости имеет?
Первое, что рассмотрим – это основные нетехнические уязвимости:
1)По умолчанию люди пользуются обычным чатом, а не секретным. Это ведет к тому, что переписка не шифруется дополнительным протоколом.
2) Данные хранятся в облачном хранилище на серверах Telegram. Если физически добраться к серверам и скачать данные, то будет слито огромное количество личных переписок и метаданных.
3)Сам протокол выполнен командой разработчиков, хотя была возможность нанять людей, которые являются более хорошими специалистами в сфере шифрования и безопасности данных. Западные криптографы утверждают, что Telegram имеет множество различных слабых мест, так метод обмена ключами по Диффи-Хелману не является отличным решением.
Теперь перейдем к списку технических уязвимостей, которые до сих пор можно обнаружить в системе.
1)Нестойкость алгоритма шифрования local code на платформе андроид. Скорость подбора шифра в 10000 раз быстрее, чем та же операция на Desktop/Telegram (ПК версия). Если на устройстве будет вирусная программа, которая получит ROOT права на устройстве, то выловить личные данные пользователя, в том числе и переписку, не составит труда.
2)Если на вас нацелился опытный хакер, то он может провести способ взлома вашего аккаунта через бэкапы и прошлые версии ПО
3)Существует возможность перехвата смс-кода при авторизации, следовательно, возможно угнать аккаунт со всеми данными в нем
4)Устаревшая система PIN с четырехзначным кодом на Android, которую через подбор паролей на ПК не составит труда. Перехода на систему PASSWORD пока не происходит.
5)Через командную строку можно добавить контакт по номеру телефона. Если взять какое-либо сообщество людей (корпоративная база) и добавить через командную строку, то будет видно, когда и какой пользователь находился в сети. Если написать специальное ПО, которое будет собирать метаданные на протяжении нескольких недель, то с помощью простого анализа по онлайну пользователей, можно будет определить кто с кем в какое время переписывался, следовательно, часть личных данных уже будет украдена.
Как видно из уязвимостей, ничто не может быть безопасным на 100%