Головна » Новости » Новости отрасли » Безопасность переписки на Telegram

Безопасность переписки на Telegram

16.02.2014

Тема безопасности переписки стала достаточно популярной. Так, в этой сфере широко известен созданный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).

Так как API доступно всем желающим, то, помимо официальных версий на яблоки и роботов, существует ряд сторонних клиентов. В данном случае я исследовал полуофициальный webogram — веб версия телеграма основанная на javascript. Почему полуофициальный? Потому, что несмотря на неофициальный статус, пишет его сотрудник ВК Игорь Жуков, которому позже я и написал об уязвимости, благо и к telegram он отношение имеет. 

Итак, когда мы открываем беседу, перед нами предстаёт url вот такого вида:
Откровенность API Telegram

Что первым делом приходит в голову? Правильно! Меняем непонятные циферки на другие и тут случается чудо:
Откровенность API Telegram

Да, именно так, невероятно, мы видим название чужой беседы. И это в «самом защищённом» мессенджере!
Что ж, ещё поиграв с циферками мы можем познакомиться с культурами далёких стран:
Откровенность API Telegram

И чуть менее далёких:
Откровенность API Telegram

Из этого вполне понятно, что проблема есть. Я тут же написал репорт.
Ответ не заставил долго ждать, через минуты три:
Откровенность API Telegram

Чинили, на удивление, всего десять минут:
Откровенность API Telegram

Безопасность это здорово. И, конечно же, разработчикам telegram я тоже желаю всего наилучшего. Но, как было видно, сейчас ещё не появилось абсолютно безопасных и проверенных временем подобных решений. Trust no one.