Главная » Новини » Новини галузі » Безпека листування на Telegram

Безпека листування на Telegram

16.02.2014

Тема безпеки листування стала досить популярною. Так, у цій сфері широко відомий створений петербуржцами Telegram. Команда запевняє в 146% безпеки, але якщо ви вже користувалися цим месенджером, знайте, як мінімум назви ваших чатів вже поставлена під сумнів. На момент публікації уразливість вже закрита (що приємно, закрили менше ніж за п'ятнадцять хвилин після репорта).

Так як API доступно всім бажаючим, то, крім офіційних версій на яблука і роботів, існує ряд сторонніх клієнтів. В даному випадку я досліджував напівофіційний webogram - веб версія телеграма заснована на javascript. Чому напівофіційний? Тому, що незважаючи на неофіційний статус, пише його співробітник ВК Ігор Жуков, якому пізніше я і написав про уразливості, благо і до telegram він відношення має.

Отже, коли ми відкриваємо бесіду, перед нами постає url ось такого вигляду:


Откровенность API Telegram

Що насамперед приходить в голову? Правильно! Міняємо незрозумілі циферки на інші і тут трапляється диво:
Откровенность API Telegram

Так, саме так, неймовірно, ми бачимо назву чужий бесіди. І це в «захищеному» месенджері!
Що ж, ще погравши з циферками ми можемо познайомитися з культурами далеких країн:


Откровенность API Telegram

І трохи менш далеких:
Откровенность API Telegram

З цього цілком зрозуміло, що проблема є. Я тут же написав репорт.
Відповідь не змусила довго чекати, через хвилини три:


Откровенность API Telegram

Чинили, на диво, всього десять хвилин:
Откровенность API Telegram

Безпека це здорово. І, звичайно ж, розробникам telegram я теж бажаю всього найкращого. Але, як було видно, зараз ще не з'явилося абсолютно безпечних і перевірених часом подібних рішень. Trust no one.