Telegram ВЗЛОМАН (ОПЯТЬ (в этот раз точно правда (нет)))Прерываю свой новогодний отдых (и так угробленный болезнью, btw, ну ничего) ради
важнейшего сообщения.
Подписчик прислал мне ссылку на
страницу, содержимое которой повергло меня в
шок. Это исследование опубликовано только сегодня, так что я уверена, что вы и не догадывались о подобных вещах.
Если вам не хочется вникать, расскажу кратко список найденных критических уязвимостей:
1. Telegram использует для авторизации номер телефона, а SIM-карту можно УКРАСТЬ, а SMS можно ПЕРЕХВАТИТЬ! Не важно, что вы можете включить 2FA, а ничего удобнее авторизации по телефону не существует. Это ШОК!
2. В Telegram есть чаты, которые НЕ шифруются оконечно, то есть доступны Павлу Дурову! Вдумайтесь в этот ад: шифрование не будет работать, если вы его не включите. Это просто КРАХ всей безопасности. Telegram скомпрометирован.
3. Чёртов Telegram синхронизирует со своим сервером список ваших контактов! Конечно, это сделано не ради вашего удобства, а чтобы выследить вас и уничтожить. Не надо мне ничего говорить про отключение доступа к контактам во всех мобильных ОС, я серьёзный сайберсекьюрити-анал итик, я отключать не умею, так что ФАТАЛЬНАЯ УЯЗВИМОСТЬ.
4. Telegram-сервер подгружает превью ссылок, которые вы отправляете. Да, когда вы отправляете ссылки в секретных чатах, клиент сначала спросит: «Вы хотите включить превью? Не включайте превью, если не хотите, чтобы Telegram имел доступ к вашим ссылкам», но если вы нажмёте ВКЛЮЧИТЬ, превью ВКЛЮЧАТСЯ. Я просто в шоке, тут у меня уже руки затряслись.
5. Локальное хранилище сообщений на вашем устройстве НЕ ШИФРУЕТСЯ, если вы используете облачные чаты или не задали пароль на вход. Да-да, любой может взять ваше устройство, сделать дамп его памяти (если устройство рутировано) и получить доступ к сообщениям! Не надо мне говорить, что злоумышленник может открыть Telegram и посмотреть на экран, если имеет устройство в руках. Это не круто. Вот нешифрованное хранилище — РЕАЛЬНАЯ УЯЗВИМОСТЬ! Шок.
6. Если сообщение отправлено, но кто-то вмешался в трафик и попытался повлиять на процесс, оно не дойдёт до получателя, но отправитель об ошибке никак НЕ УЗНАЕТ. Кто-то может сказать, что это фича и защита от timing attack, но не слушайте их, на самом деле это просто адская ДЫРЕНЬ. Как в бублике.
7. Напоследок автор приберёг самое страшное. Пожалуйста, держитесь, у вас может заболеть сердце.
Кажется, шифрование MTProto можно взломать. Нет-нет, практических идей пока никаких нет, успешных попыток тоже, но,
кажется, что-то можно взломать. И это пугает до мороза по коже. После этого пункта у меня проступил холодный пот, я сразу снесла Telegram-аккаунт и все приложения. Канал больше вести не буду. Этот пост отправлен через таймер отложенных постов.
Спасибо, Eduard Toloza, что открыл мне глаза на правду. Мне очень жаль, что всё это время я допускала страшное: наличие Telegram на моих устройствах и в моей жизни. Я надеюсь, меня читают корреспонденты СМИ и донесут до людей, что использовать это решето опасно.
Ищите меня в ТамТам.