Спецпроекты

Telegram выдает силовикам участников митингов и протестов

15253
Безопасность Пользователю Интернет Веб-сервисы Техника
В Telegram обнаружена лазейка, позволяющая властям различных стран вычислять номера телефонов тех, кто участвует в акциях протеста и числится в соответствующих группах в мессенджере. Проблему обнаружили эксперты из Гонконга, где сейчас проходят многотысячные протесты.

Небезопасный мессенджер

Мессенджер Telegram может выдавать третьим лицам номера телефонов пользователей без их на то согласия. Брешь в системе безопасности популярного сервиса обнаружили разработчики ПО из Гонконга.

По словам специалистов, обнаруженная ими лазейка может использоваться властями и спецслужбами для сбора номеров телефонов тех, кто участвует в митингах и акциях протест. Ресурс ZDNet пишет, что подобным образом могут быть вычислены личные данные тех, кто участвует в протестах в Гонконге и координируют свои действия через Telegram.

Как это работает

Злоумышленники могут действовать в обход настроек приватности в мессенджере, в которых можно скрыть видимость номера телефона. Это работает, даже если скрыть номер телефона от всех, включая список контактов. Для того, чтобы выяснить, состоит ли тот или иной человек в протестных группах и чатах в Telegram, третьим лицам достаточно всего лишь добавить в свою адресную книгу тысячи номеров, после чего подключиться к необходимым группам и синхронизировать свои контакты с клиентом Telegram. После синхронизации месседжер сразу покажет, кто из владельцев добавленных номеров состоит в «непопулярных» группах.

hong600.jpg
Telegram может скомпрометировать участников протестов в любой стране мира

Для Гонконга возможная деанонимизация пользователей Telegram сейчас имеет большое значение. По всей стране с начала июня 2019 г. проходят многочисленные акции протеста против законопроекта о рассмотрении запросов об экстрадиции подозреваемых в уголовных преступлениях с территории Гонконга, подаваемых властями Макао, Тайваня и Китая. Документ был принят к рассмотрению, что и побудило жителей Гонконга высказать свое недовольство. Протестующие устроили шествие, построили баррикады и перекрыли движение по крупным шоссе и дорогам. В первый день протеста против законопроекта выступило более 240 тыс. человек, что стало крупнейшей демонстрацией в Гонконге за последние 20 лет.

Опасения небеспочвенны

Разработчики Telegram отреагировали на заявление гонконгских программистов об обнаружении им столь серьезного бага. Сотрудники ZDNet связались с ними с целью выяснения их дальнейших действий и приблизительных сроков исправления проблемы.

На запрос журналистов девелоперы ответили, что в актуальных версиях мессенджера присутствуют алгоритмы, препятствующие столь грубому взлому.

Автоматический поиск номеров телефонов участников тех или иных групп в Telegram возможен теоретически и практически – разработчики даже продемонстрировали его в действии, однако выполнение скрипта было прервано спустя две секунды после начала его работы, и в результате было импортировано 85 контактов. Аккаунт, с которого проводилась синхронизация, получил ограничение на добавление новых контактов – не более пяти в день.

В итоге защита от «кражи» номеров телефонов в Telegram есть, но ее можно обойти не качеством, а количеством. Теоретически, деанонимизацию пользователей можно проводить, используя большое количество Telegram-аккаунтов и ботов.

Безальтернативный мессенджер

Информация о возможных проблемах Telegram с анонимностью своих пользователей за несколько часов распространилась на популярных в Гонконге социальных ресурсах. Инженеры, обнаружившие брешь, заявили, что ее использование можно автоматизировать, то есть тем, кому поручено выявить личности протестующих, не будут вручную заносить тысячи номеров в свои списки контактов. По их утверждению, власти Гонконга осведомлены о предоставленной им возможности борьбы с протестующими и пользуются ей на протяжении неопределенного количества времени. В качестве решения проблемы и дальнейшего использования Telegram в качестве инструмента координации акций протеста участникам предложено использовать одноразовые SIM-карты, а также номера, оформленные на других лиц или на поддельные паспорта.

В то же время отказаться от Telegram в пользу других мессенджеров протестующие не спешат. Это связано в первую очередь с более проработанными алгоритмами работы Telegram с большими группами, а также тем, что альтернативные сервисы по умолчанию раскрывают номера телефонов. В качестве примера был приведен мессенджер Signal, в котором номер телефона скрыть нельзя.

DDoS-атаки мирового масштаба

Telegram во второй раз за лето 2019 г. оказывается в центре внимания мировой общественности из-за ситуации в Гонконге. 11 июня 2019 г., через два дня после начала протестов, мессенджер перестал работать по всей планете вследствие массированных DDoS-атак мощностью от 200 до 400 Гбит/с. По словам создателя Telegram Павла Дурова, атаки напрямую связаны с этими протестами.

В России Telegram заблокирован с апреля 2018 г. по решению Таганского районного суда Москвы, вынесенному судьей Юлией Смолиной. Решение принято в соответствии с российским законодательством, по которому организаторы распространения информации в интернете, к которым относятся мессенджеры, сервисы электронной почты и др., обязаны по требованию ФСБ предоставлять ключи для дешифровки переписки пользователей. В середине июля 2017 г. ФСБ запросила у Telegram такие ключи, однако Дуров заявил, что сервис не намерен выполнять законы, которые «не совместимы с защитой частной жизни и политикой конфиденциальности» мессенджера.

Блокировка мессенджера сопровождалась сбоями в работе сервисов «Яндекса», Mail.ru Group и других крупных компаний, однако по состоянию на 26 августа 2019 г. Telegram продолжает свою работу в России.



Технология месяца

Что нужно знать о развитии СУБД: от «Спутника» до наших дней

Какие задачи решают системы управления базами данных сейчас и какие готовы решать в будущем?

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»