Небезопасный Telegram.
Jhorj [OSINT]🔓Гениальный пиар, громкие заявления и ФСБ.
Небезопасный и неанонимный Telegram.
Ссылка на канал - https://t.me/+6YlYqZz7gMYyOTY6
#анонимность
#приватность
#безопасность
Начнем с истории и репутации проекта.
Репутация основателя Telegram Павла Дурова стремится к минимуму, еще во времена "ВКонтакте" он заявлял что не хранит логи на серверах, но после продажи социальной сети, вскрылось, что на серверах хранилась вся "не хранящаяся" информация.
В 2013 произошел первый выпуск мессенджера Telegram. Telegram работал по собственному протоколу шифрования MtProto 1.0, который в последствии был заменён на версию 2.0, ввиду того, что первая версия являлась нетакой уж и безопасной и даже имели место быть инциденты частичного взлома протокола.
Только в 2019 появилась возможность скрывать номер телефона, до этого номер был доступен обсалютно всем и все аккаунты созданные до 2019 уже скомпрометированы и не являются анонимными.
В 2018 году Telegram подвергся нашумевшой блокировке, которая только прорекламировала мессенжер, а ввиду встроенных средств обхода блокировок в Telegram, мессенджер даже не особо пострадал от таковых.
Блокировка случилась благодаря "невыдаче" личных данных и данных переписки.
Позже Telegram оффициально согласился выдавать личные данные пользователей, а именно:
-ip адреса.
-номер телефона.
Кроме этого телеграм имеет возможность логгировать и огромное количество другой информации, выше перечисленные идентификаторы жто лишь то, что он выдает в оффициальном порядке, не учитывая закон Gag order.
Вот доказательство - https://telegram.org/privacy#8-3-law-enforcement-authorities (При этом не учитывается закон Gag order, тоесть секретная передача данных спецслужбам. А в странах где телеграм зарегистрирован, как компания, данный закон действует).
Кстати недавно телеграм обновил политику конфиденциальности и с целью улучшения таргетированной рекламы стал использовать для лучших результатов рекламы идентификаторы пользователей, ip адрес и номер телефона "зашифрованные".
Подробнее - https://kod.ru/rieklamnaia-platforma-telegram-poluchila
Теперь разберем технические факты которые имеет Telegram.
1. Телеграм имеет закрытый исходный код серверной части - следовательно сервера телеграма являются НЕ доверенной средой, на которой могут находиться какие угодно бэкдоры и уязвимости, несмотря на заявляния разработчиков (проверить их завления фактически невозможно). Так же из этого вытекает невозможность проверить такие заявления как "вся информация на серверах зашифрована", "Телеграм удаляет с серверов все, что удалил пользователь", "Телеграм не хранит переписку на серверах", "Сервер Телеграм не может произвести MITM (человек по середине) атаку" и так далее.
2. Стандартная переписка в телеграме не имеет сквозное шифрование и полностью читается и возможно хранится на серверах.
3. Протокол шифрования MTProto 2.0 НИКОГДА не подвергался внешнему аудиту безопасности. А конкурсы, которые проводит Телеграм по взлому данного протокола - не являются фактическим доказательством безопасности MTProto 2.0 (К тому же сумма выйгрыша не такая уж и существенная, что бы привлечь серьезные агенства).
Как дополнительный факт - MTProto 2.0 использует уязвимый AES IGE.
По мимо этого, в протоколе шифрования уже находили уязвимости 1 , 2 , 3 и это не всё.
4. Протокол Диффи-Хеллмана-Меркля, который ослаблен на уровне генератора псевдослучайных чисел (ГПСЧ). Для того, что бы обеспечить сквозное шифрование (в секретных чатах), требуется сгенерировать случайное число, и в нормальном сквозном шифровании, это число генерируется непосредственно на самом устройстве, но в случае телеграма, устройство запрашивает данное число с сервера (который может это число подменить, а проверить точно ли сервер не подменит число невозможно, ввиду закрытой серверной части).
5. Регистрация по номеру телефона. Это недопустимо в ориентированном на безопасность и анонимность мессенджере.
6. Актуальный исходный код клиента выкладывают с запозданием. Более того, возможно не соответсвие выложенного исходного кода и приложения в репозиториях App Store и Google Play.
7. Весь трафик идет ТОЛЬКО через сервера Telegram. Даже в секретных чатах. Это плохо, поскольку намного безопаснее использовать P2P соединение, без посредника ввиде сервера, так же данный факт подтверждает уязвимость в секретных чатах.
8. Имеются преценденты взлома 2FA и даже просмотра секретных чатов на другом устройстве (на котором данный чат не был создан).
9. Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др.
Основываясь на вышесказаных фактах можно сделать следующие обоснованные выводы:
1. Так как телеграм имеет закрытый код серверной части, никто не знает что там происходит.
2. Телеграм без проблем может читать стандарные чаты на сервере.
3. Сервер телеграма может произвести MITM атаку на протокол Диффи-Хеллмана-Меркля, который используется для сквозного шифрования.
Тоесть:
Ввиду того, что весь трафик идет только через сервер, а сервер теоритически произвел MITM атаку на протокол Диффи-Хеллмана-Меркля (подменив числа ГПСЧ), то секретный чат, хоть и выборочно, но может быть скомпрометирован (проще говоря, даже имея сквозное шифрование, при таких условиях, вся информация в секретных чатах читается).
4. Регистрация по номеру телефона , смс от которого легко может быть перехвачено. А 2FA уже обходили.
Подводим итоги:
1. Телеграм может читать как обычные чаты, так и секретные чаты.
2. Протокол шифрования MtProto 2.0 используемый для шифрования в Telegram не доказал свою безопасность.
3. Telegram выдает личные данные пользователей по запросу правоохранителей - оффициально. Не будем говорить про возможную скрытую передачу данных (как личных, так и данных переписки и звонков) в спецслужбы, но нужно понимать, что это нормальная практика и она вполне могла быть применена при сотрудничестве Telegram и спецслужб.
Пользуйтесь безопасными средствами коммуникации (Xmpp (Jabber)+OTR как вариант) и не доверяйте таким сомнительным решениям как Telegram, Whatsapp, Viber и прочее.
Дополнительный материал:
Ссылка на канал - https://t.me/+6YlYqZz7gMYyOTY6