Ошибки в материале Wired
TelegramThe original text is available here in English.
В Wired был опубликован материал журналиста-фрилансера, в котором, в силу неправильного понимания работы секретных чатов и API Telegram, ставится под сомнение безопасность мессенджера для российских политических активистов.
Нижe – комментарии о том, почему эти сомнения не обоснованны.
1. Секретные чаты
Вопреки опасениям, высказанным журналистом, "ошибочная установка отметки о прочтении" не является свидетельством прослушки секретных чатов Telegram. Если бы некий злоумышленник смог перехватить сообщения секретного чата, ему не составило бы труда отключить и отметки о прочтении (сообщения не становятся "прочитанными" автоматически – для этого приложению необходимо отправить специальный запрос). Однако такой взлом невозможен.
Telegram – единственный популярный мессенджер, который позволяет любому исследователю убедиться, что его открытый исходный код соответствует коду приложений, которые пользователи iOS и Android скачивают из AppStore и Google Play. Благодаря этому независимые эксперты могут полностью изучить и подтвердить защищённость секретных чатов. За почти 10 лет существования Telegram не было обнаружено ни одного способа, с помощью которого третьи лица могли бы расшифровать данные из секретных чатов.
Никакие проблемы со прочтением сообщений в секретных чатах не могут влиять на безопасность. Однако и само наличие таких проблем находится под вопросом – Яна Теплицкая, которая, согласно статье, жаловалась на "ошибочно прочитанные секретные чаты", в ответ на запрос Telegram, сообщила, что никаких проблем с секретными чатами не испытывала. По словам Яны, она сталкивалась с ошибочными отметками о прочтении только в облачных чатах.
2. Чтение сообщений
Вопреки предположению автора статьи, нет свидетельств того, что переписка политика Рины Мацапулиной была известна силовикам до её ареста. Местоположение Рины было определено по данным сотового сигнала телефона, а не благодаря чтению её сообщений. Об этом упоминалось в опубликованной ей беседе со следователем: "...у ФСБ есть очень хорошая техника, которая показывает твою локацию по телефону с точностью до 1 метра".
На момент разговора, в котором впервые было упомянуто содержание переписки Рины Мацапулиной, её телефон находился в руках силовиков уже около трёх часов. По мнению независимых экспертов, следователи получили доступ к сообщениям через взлом конфискованных устройств Рины технологиями Cellebrite, которые регулярно используются спецслужбами России. С безопасностью самого Telegram это не связано, поскольку ни одно приложение не способно противостоять физическому взлому устройства.
3. Геолокационные данные
В статье приводятся ошибочные предположения о том, что через API Telegram (программный интерфейс для сторонних разработчиков) можно получить местоположение любых пользователей, "включивших геолокацию".
Это не так. В реальности API Telegram позволяет получить данные о местоположении только тех, кто сознательно включил отображение своего аккаунта в специальном подразделе "Найти людей рядом".
Из всех пользователей Telegram менее 0,01% когда-либо пользовались этим режимом, и всякий включивший его делал это с конкретной целью – поделиться своим местоположением с миром. Каких-либо брешей в безопасности здесь нет.
4. "Слежка" через API
API Telegram представлен в статье как некий магический инструмент для получения доступа к любой информации.
На самом деле, через API можно получить доступ лишь к тем данным, которые и так доступны любому пользователю Telegram через обычные приложения. Даже для тех, кому известен номер телефона пользователя Telegram, не существует гарантированного способа найти сообщения, оставленные им в публично доступных группах – не говоря уже о получении каких-либо конфиденциальных данных вроде информации о подписках на каналы.
Путаница в статье связана, скорее всего, с тем, что API Telegram используется разработчиками сторонних ботов и неофициальных приложений, которым пользователи часто добровольно отправляют свои данные (например, добавляя ботов в чаты или пользуясь неофициальными клиентами для Telegram).
К сожалению, автор публикации, фрилансер Даррен Лукайдес, принял решение не отражать позицию Telegram и других источников в своей статье.