Безпека листування на Telegram

16.02.2014

Тема безпеки листування стала досить популярною. Так, у цій сфері широко відомий створений петербуржцами Telegram. Команда запевняє в 146% безпеки, але якщо ви вже користувалися цим месенджером, знайте, як мінімум назви ваших чатів вже поставлена під сумнів. На момент публікації уразливість вже закрита (що приємно, закрили менше ніж за п'ятнадцять хвилин після репорта).

Так як API доступно всім бажаючим, то, крім офіційних версій на яблука і роботів, існує ряд сторонніх клієнтів. В даному випадку я досліджував напівофіційний webogram - веб версія телеграма заснована на javascript. Чому напівофіційний? Тому, що незважаючи на неофіційний статус, пише його співробітник ВК Ігор Жуков, якому пізніше я і написав про уразливості, благо і до telegram він відношення має.

Отже, коли ми відкриваємо бесіду, перед нами постає url ось такого вигляду:

Що насамперед приходить в голову? Правильно! Міняємо незрозумілі циферки на інші і тут трапляється диво:

Так, саме так, неймовірно, ми бачимо назву чужий бесіди. І це в «захищеному» месенджері!
Що ж, ще погравши з циферками ми можемо познайомитися з культурами далеких країн:

І трохи менш далеких:

З цього цілком зрозуміло, що проблема є. Я тут же написав репорт.
Відповідь не змусила довго чекати, через хвилини три:

Чинили, на диво, всього десять хвилин:


Безпека це здорово. І, звичайно ж, розробникам telegram я теж бажаю всього найкращого. Але, як було видно, зараз ще не з'явилося абсолютно безпечних і перевірених часом подібних рішень. Trust no one.