В Telegram опровергли отчёт специалиста по безопасности о взломе мессенджера

Специалист по безопасности компании Zimperium Цук Аврахам (Zuk Avraham) рассказал об обнаруженном им способе читать переписку пользователей, общающихся в «секретных» чатах Telegram для Android, назвав его взломом мессенджера. В пресс-службе Telegram опровергли TJ наличие взлома мессенджера, переадресовав претензии к Google.

Плакат для конкурса на взлом Telegram

23 февраля Цук Аврахам опубликовал проведённое им исследование безопасности Telegram. По словам Аврахама, он нашёл способ удалённо читать переписку в «защищённых» чатах Telegram для Android, которые создатели мессенджера позиционируют как безопасные от слежки.

Аврахам обратил внимание на недавний конкурс от Telegram по перехвату адреса электронной почты, за победу в котором компания обещала выплатить 300 тысяч долларов награды. В условиях конкурса говорилось, что участники могут «не только мониторить трафик, но и вести себя как сервер Telegram и использовать активные атаки». По мнению Аврахама, ему удалось провести одну из таких «активных атак».

Используя уязвимость в Chrome для Android и эксплойт TowelRoot, Аврахам смог удалённо получить корневой доступ к телефону, на котором был запущен Telegram. Он написал несколько сообщений в «секретном чате», а потом обнаружил их текст в незашифрованном виде как в памяти Android, так и в кэше приложения.

Кроме того, исследователь решил проверить, что происходит с удалёнными сообщениями, которые могут исчезать в Telegram по таймауту: по его мнению, потенциальному хакеру удалённая переписка может быть более интересна, чем сохранившаяся. Аврахам обнаружил, что удалённые сообщения исчезают из кэша, однако остаются в памяти телефона.

По словам Аврахама, он обнаружил уязвимость ещё 17 января, после чего предпринял множество попыток связаться с представителями Telegram, но не получил ответа. Спустя более чем месяц он принял решение опубликовать отчёт об уязвимости, следуя политике Zimperium о 30-дневном неразглашении.

Telegram следовало бы шифровать текст переписки при хранении его в памяти устройства и в файлах кэша, считает аналитик Zimperium.

Так называемое мощное шифрование Telegram не защищает пользователей лучше, чем это делает любой другой сайт или приложение, использующие SSL. Если вы используете Telegram, чтобы сохранить приватность вашей переписки, знайте, что он не остановит изощрённых хакеров от чтения ваших сообщений. Мы крайне рекомендуем использовать дополнительные меры безопасности для обнаружения кибератак на уровне устройства.

Цук Аврахам, специалист по безопасности Zimperium

По мнению пользователей форума Hacker News, обвинения Аврахама в уязвимости Telegram беспочвенны, так как даже при шифровании сообщений ключ к их расшифровке всё равно пришлось бы хранить на устройстве, и переписку можно было бы расшифровать, если иметь прямой доступ к системе. В случае, когда хакер завладел корневым доступом к Android, он имеет возможность не только читать содержимое памяти устройства, но и делать скриншоты окна переписки — в этом случае ему ничто не помешает нарушить приватность.

Основатель Telegram Павел Дуров заявил TJ, что публикация в блоге Zimperium скорее является саморекламой, чем описанием уязвимости.

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Павел Дуров, основатель и гендиректор Telegram

В пресс-службе Telegram рассказали TJ, что уязвимость, являющаяся ключом к чтению Аврахамом переписки в «секретных чатах», находится на уровне системы Android, а значит за её решением следует обращаться в Google.

Если представить, что у атакующего есть корневой доступ, в этом случае ни одно приложение не может быть безопасным. Например, чтобы показать что-то на экране, нужно отправить это в память устройства. Хакер с корневым доступом может просто читать эту память, так что манипуляции с файлами баз данных становятся необязательными.

Ни одно приложение Android не может заявить о защищённости от пользователя с корневым доступом. Системные уязвимости, которые дают корневой доступ, могут быть исправлены только производителем ОС. Поэтому все указанные вопросы следует адресовать Google.

пресс-служба Telegram (перевод с английского)

19 февраля пользователь «Хабрахабра» под ником visput опубликовал другое исследование некритической уязвимости в Telegram. Он обнаружил, что в отличие от клиента для iOS приложение для Android использует только одну из трёх проверок при передаче зашифрованного сообщения. При мониторинге большого объёма трафика переписки эта уязвимость давала гарантированную возможность «угадывания» секретного ключа и последующей слежки за перепиской.

По словам visput, уязвимость была исправлена ещё в декабре: Telegram обновили приложение в Google Play и внесли изменения в публичный исходный код на GitHub, а также выплатили исследователю награду в 5 тысяч долларов.