В Telegram опровергли отчёт специалиста по безопасности о взломе мессенджера Статьи редакции

Специалист по безопасности компании Zimperium Цук Аврахам (Zuk Avraham) рассказал об обнаруженном им способе читать переписку пользователей, общающихся в «секретных» чатах Telegram для Android, назвав его взломом мессенджера. В пресс-службе Telegram опровергли TJ наличие взлома мессенджера, переадресовав претензии к Google.

Плакат для конкурса на взлом Telegram

23 февраля Цук Аврахам опубликовал проведённое им исследование безопасности Telegram. По словам Аврахама, он нашёл способ удалённо читать переписку в «защищённых» чатах Telegram для Android, которые создатели мессенджера позиционируют как безопасные от слежки.

Аврахам обратил внимание на недавний конкурс от Telegram по перехвату адреса электронной почты, за победу в котором компания обещала выплатить 300 тысяч долларов награды. В условиях конкурса говорилось, что участники могут «не только мониторить трафик, но и вести себя как сервер Telegram и использовать активные атаки». По мнению Аврахама, ему удалось провести одну из таких «активных атак».

Используя уязвимость в Chrome для Android и эксплойт TowelRoot, Аврахам смог удалённо получить корневой доступ к телефону, на котором был запущен Telegram. Он написал несколько сообщений в «секретном чате», а потом обнаружил их текст в незашифрованном виде как в памяти Android, так и в кэше приложения.

Кроме того, исследователь решил проверить, что происходит с удалёнными сообщениями, которые могут исчезать в Telegram по таймауту: по его мнению, потенциальному хакеру удалённая переписка может быть более интересна, чем сохранившаяся. Аврахам обнаружил, что удалённые сообщения исчезают из кэша, однако остаются в памяти телефона.

По словам Аврахама, он обнаружил уязвимость ещё 17 января, после чего предпринял множество попыток связаться с представителями Telegram, но не получил ответа. Спустя более чем месяц он принял решение опубликовать отчёт об уязвимости, следуя политике Zimperium о 30-дневном неразглашении.

Telegram следовало бы шифровать текст переписки при хранении его в памяти устройства и в файлах кэша, считает аналитик Zimperium.

Так называемое мощное шифрование Telegram не защищает пользователей лучше, чем это делает любой другой сайт или приложение, использующие SSL. Если вы используете Telegram, чтобы сохранить приватность вашей переписки, знайте, что он не остановит изощрённых хакеров от чтения ваших сообщений. Мы крайне рекомендуем использовать дополнительные меры безопасности для обнаружения кибератак на уровне устройства.

Цук Аврахам, специалист по безопасности Zimperium

По мнению пользователей форума Hacker News, обвинения Аврахама в уязвимости Telegram беспочвенны, так как даже при шифровании сообщений ключ к их расшифровке всё равно пришлось бы хранить на устройстве, и переписку можно было бы расшифровать, если иметь прямой доступ к системе. В случае, когда хакер завладел корневым доступом к Android, он имеет возможность не только читать содержимое памяти устройства, но и делать скриншоты окна переписки — в этом случае ему ничто не помешает нарушить приватность.

Основатель Telegram Павел Дуров заявил TJ, что публикация в блоге Zimperium скорее является саморекламой, чем описанием уязвимости.

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Павел Дуров, основатель и гендиректор Telegram

В пресс-службе Telegram рассказали TJ, что уязвимость, являющаяся ключом к чтению Аврахамом переписки в «секретных чатах», находится на уровне системы Android, а значит за её решением следует обращаться в Google.

Если представить, что у атакующего есть корневой доступ, в этом случае ни одно приложение не может быть безопасным. Например, чтобы показать что-то на экране, нужно отправить это в память устройства. Хакер с корневым доступом может просто читать эту память, так что манипуляции с файлами баз данных становятся необязательными.

Ни одно приложение Android не может заявить о защищённости от пользователя с корневым доступом. Системные уязвимости, которые дают корневой доступ, могут быть исправлены только производителем ОС. Поэтому все указанные вопросы следует адресовать Google.

пресс-служба Telegram (перевод с английского)

19 февраля пользователь «Хабрахабра» под ником visput опубликовал другое исследование некритической уязвимости в Telegram. Он обнаружил, что в отличие от клиента для iOS приложение для Android использует только одну из трёх проверок при передаче зашифрованного сообщения. При мониторинге большого объёма трафика переписки эта уязвимость давала гарантированную возможность «угадывания» секретного ключа и последующей слежки за перепиской.

По словам visput, уязвимость была исправлена ещё в декабре: Telegram обновили приложение в Google Play и внесли изменения в публичный исходный код на GitHub, а также выплатили исследователю награду в 5 тысяч долларов.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_telegram","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_android","\u043f\u0430\u0432\u0435\u043b_\u0434\u0443\u0440\u043e\u0432","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0437\u0430\u0449\u0438\u0449\u0451\u043d\u043d\u044b\u0439_\u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440","\u0432\u0437\u043b\u043e\u043c\u044b","telegram","android"], "comments": 31, "likes": 21, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 54174, "is_wide": true, "is_ugc": true, "date": "Tue, 24 Feb 2015 22:59:23 +0300", "is_special": false }
0
31 комментарий
Популярные
По порядку
Написать комментарий...

Коричневый микрофон

40

А можно ещё в метро через плечо подглядывать, как кто-то в телеграме переписывается. Дуров, где мои деньги?

Ответить

Окружающий единорожек88

Илья
0

Вот кстати удаляемые сообщения-то можно и затереть (а то они остаются в памяти устройсвта). Я предполагаю, что они просто остаются в оперативной памяти, пока сборщик мусора не почистит. Тут действительно непорядок, хотя и небольшой. Можно же просто украсть телефон и сделать дамп оперативной памяти (не выключая, естестевенно).

Ответить

Закрытый Никита

6

Шифровать находящееся в памяти бесполезно, так как ключи для расшифровки все равно тоже должны быть в памяти. Замкнутый круг.

Ответить

Непосредственный блик

6

Комментарий удален по просьбе пользователя

Ответить

Одинокий вентилятор

DELETED
2

Нет. У меня рут, посоны...

Ответить

Независимый рак

Slow
0

Рут. Рут... Рут!

Ответить

Служебный

Mansur
1

Олдфаг в треде!1))

Ответить

Крохотный украинец

3

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Как человек, плотно знакомый с android и работающий с ним, я категорически согласен с данным утверждением, ппкс.

Ответить

Снежный Валера

Stalker
3

Комментарий удален по просьбе пользователя

Ответить

Снежный Валера

2

Комментарий удален по просьбе пользователя

Ответить

Редкий американец

0

Уязвима сама платформа, а не клиент. Переходим на айфоны и виндрфоны, друзья

Ответить

Влюбленный Данила

Alexei
6

В любой ос есть дыры.

Ответить

Резиновый ихтиандр

Илья
0

Даже в МСВС?

Ответить

Закрытый Никита

Ilya.A…
11

В МСВС не дыры, а технологические отверстия!

Ответить

Влюбленный

Ilya.A…
0

Когда я говорю "в любой", я это и имею введу.

Ответить

Независимый рак

Илья
7
Ответить

Внешний Мурод

Alexei
1

Не забудьте получить джейл

Ответить

Крохотный украинец

Alexei
1

Да нет, просто не делаем рут на ведре, и не паримся. Ну и, да, лучше огораживаем свой телефончик, коль скоро всерьёз считаете, что вам есть что и от кого скрывать.

Ответить

Конечный шмель

Stalker
0

вообще, в идеале не сидите под рутом. Или под админом в Винде.
Одна из лучших защит от вирусов ))

Ответить

Крохотный

it-trend
0

Одна из лучших защит от вирусов — мозги)

Ответить

Уральский корабль

Alexei
0

Ага, побежали прям: http://tjournal.ru/club/3198

Ответить

Западный украинец

–3

В любой непонятной ситуации опровергай

Ответить

Случайный кавалер

Sergey
–1

Комментарий удален по просьбе пользователя

Ответить

Чистый крюк

Владимир
1

Кеша, ты опять?

Ответить

Тупой франт

0

Но с другой стороны, переписку-то он прочитал.
Павлу Валерьевичу теперь надо пилить собственную суперсекретную ОС

Ответить

Дополнительный пёс_анон

Сашка
1

и подключать ее к суперсекретному интернету, над которым уже работает Дотком)

Ответить

Тупой франт

ReasonToBelieve
0

"Чтоб никто не догадался!"

Ответить

Сильный ключ

0

Чувствую что Пашу скоро запарит все, он начнет разработку собственной ОСи.

Ответить

Дополнительный турник

0

"получить корневой доступ к телефону"
Мои глаза! Ребята, неужели в редакции из технических специалистов только google translate?

Ответить

Определенный волк

–41

Дуров норм отмазался. Мы сделали защищенный мессенджер чтобы никто не смог прочитать вашу переписку, ну, конечно, кроме тех, кому это надо.

Ответить

Водный крюк

Сергей
37

Вы статью-то читали?

Ответить
Читать все 31 комментарий
Обсуждаемое
Новости
Квартиру Юрия Хованского выставили на Avito. Она продаётся за 45 миллионов рублей
Блогер находится в СИЗО по обвинению в оправдании терроризма.
Беларусь
Белорусская бегунья раскритиковала руководство сборной — и её попытались насильно вывезти из Токио. Главное
Спортсменка запросила убежище в Польше, а её муж уехал из Белоруссии в Киев.
Спорт
На Олимпиаде в Токио впервые выступила трансгендерная женщина. Тяжелоатлетка провалила все подходы взять вес
Лорел Хаббард выбыла из турнира.
Популярное за три дня
Новости
Квартиру Юрия Хованского выставили на Avito. Она продаётся за 45 миллионов рублей
Блогер находится в СИЗО по обвинению в оправдании терроризма.
Беларусь
Белорусская бегунья раскритиковала руководство сборной — и её попытались насильно вывезти из Токио. Главное
Спортсменка запросила убежище в Польше, а её муж уехал из Белоруссии в Киев.
Беларусь
Белорусскую бегунью Тимановскую после критики руководства сборной привезли в аэропорт и планируют увезти из Токио
2 августа спортсменка должна была бежать 200 метров, но представители сборной купили билеты на самолёт и привезли её в аэропорт.
null