[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f_\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043f\u0430\u0432\u0435\u043b_\u0434\u0443\u0440\u043e\u0432","telegram","\u0445\u0430\u043a\u0435\u0440\u044b","android","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_telegram","\u0432\u0437\u043b\u043e\u043c\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_android","\u0437\u0430\u0449\u0438\u0449\u0451\u043d\u043d\u044b\u0439_\u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440"], "comments": 31, "likes": 0, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "54174" }
Никита Лихачёв
11 189

В Telegram опровергли отчёт специалиста по безопасности о взломе мессенджера

Специалист по безопасности компании Zimperium Цук Аврахам (Zuk Avraham) рассказал об обнаруженном им способе читать переписку пользователей, общающихся в «секретных» чатах Telegram для Android, назвав его взломом мессенджера. В пресс-службе Telegram опровергли TJ наличие взлома мессенджера, переадресовав претензии к Google.

Плакат для конкурса на взлом Telegram

23 февраля Цук Аврахам опубликовал проведённое им исследование безопасности Telegram. По словам Аврахама, он нашёл способ удалённо читать переписку в «защищённых» чатах Telegram для Android, которые создатели мессенджера позиционируют как безопасные от слежки.

Аврахам обратил внимание на недавний конкурс от Telegram по перехвату адреса электронной почты, за победу в котором компания обещала выплатить 300 тысяч долларов награды. В условиях конкурса говорилось, что участники могут «не только мониторить трафик, но и вести себя как сервер Telegram и использовать активные атаки». По мнению Аврахама, ему удалось провести одну из таких «активных атак».

Используя уязвимость в Chrome для Android и эксплойт TowelRoot, Аврахам смог удалённо получить корневой доступ к телефону, на котором был запущен Telegram. Он написал несколько сообщений в «секретном чате», а потом обнаружил их текст в незашифрованном виде как в памяти Android, так и в кэше приложения.

Кроме того, исследователь решил проверить, что происходит с удалёнными сообщениями, которые могут исчезать в Telegram по таймауту: по его мнению, потенциальному хакеру удалённая переписка может быть более интересна, чем сохранившаяся. Аврахам обнаружил, что удалённые сообщения исчезают из кэша, однако остаются в памяти телефона.

По словам Аврахама, он обнаружил уязвимость ещё 17 января, после чего предпринял множество попыток связаться с представителями Telegram, но не получил ответа. Спустя более чем месяц он принял решение опубликовать отчёт об уязвимости, следуя политике Zimperium о 30-дневном неразглашении.

Telegram следовало бы шифровать текст переписки при хранении его в памяти устройства и в файлах кэша, считает аналитик Zimperium.

Так называемое мощное шифрование Telegram не защищает пользователей лучше, чем это делает любой другой сайт или приложение, использующие SSL. Если вы используете Telegram, чтобы сохранить приватность вашей переписки, знайте, что он не остановит изощрённых хакеров от чтения ваших сообщений. Мы крайне рекомендуем использовать дополнительные меры безопасности для обнаружения кибератак на уровне устройства.

Цук Аврахам, специалист по безопасности Zimperium

По мнению пользователей форума Hacker News, обвинения Аврахама в уязвимости Telegram беспочвенны, так как даже при шифровании сообщений ключ к их расшифровке всё равно пришлось бы хранить на устройстве, и переписку можно было бы расшифровать, если иметь прямой доступ к системе. В случае, когда хакер завладел корневым доступом к Android, он имеет возможность не только читать содержимое памяти устройства, но и делать скриншоты окна переписки — в этом случае ему ничто не помешает нарушить приватность.

Основатель Telegram Павел Дуров заявил TJ, что публикация в блоге Zimperium скорее является саморекламой, чем описанием уязвимости.

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Павел Дуров, основатель и гендиректор Telegram

В пресс-службе Telegram рассказали TJ, что уязвимость, являющаяся ключом к чтению Аврахамом переписки в «секретных чатах», находится на уровне системы Android, а значит за её решением следует обращаться в Google.

Если представить, что у атакующего есть корневой доступ, в этом случае ни одно приложение не может быть безопасным. Например, чтобы показать что-то на экране, нужно отправить это в память устройства. Хакер с корневым доступом может просто читать эту память, так что манипуляции с файлами баз данных становятся необязательными.

Ни одно приложение Android не может заявить о защищённости от пользователя с корневым доступом. Системные уязвимости, которые дают корневой доступ, могут быть исправлены только производителем ОС. Поэтому все указанные вопросы следует адресовать Google.

пресс-служба Telegram (перевод с английского)

19 февраля пользователь «Хабрахабра» под ником visput опубликовал другое исследование некритической уязвимости в Telegram. Он обнаружил, что в отличие от клиента для iOS приложение для Android использует только одну из трёх проверок при передаче зашифрованного сообщения. При мониторинге большого объёма трафика переписки эта уязвимость давала гарантированную возможность «угадывания» секретного ключа и последующей слежки за перепиской.

По словам visput, уязвимость была исправлена ещё в декабре: Telegram обновили приложение в Google Play и внесли изменения в публичный исходный код на GitHub, а также выплатили исследователю награду в 5 тысяч долларов.

#Категория_Новость #Павел_Дуров #Telegram #хакеры #Android #уязвимости_в_Telegram #взломы #уязвимости_в_Android #защищённый_мессенджер

Статьи по теме
Энтузиасты интегрировали биткоины в Telegram и раздают их бесплатно
Дуров раскритиковал предложение британского премьера запретить защищённые виды коммуникации
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против