Рубрика развивается при поддержке HP logo intel logo Advertisement

В Telegram опровергли отчёт специалиста по безопасности о взломе мессенджера Статьи редакции

Специалист по безопасности компании Zimperium Цук Аврахам (Zuk Avraham) рассказал об обнаруженном им способе читать переписку пользователей, общающихся в «секретных» чатах Telegram для Android, назвав его взломом мессенджера. В пресс-службе Telegram опровергли TJ наличие взлома мессенджера, переадресовав претензии к Google.

Плакат для конкурса на взлом Telegram

23 февраля Цук Аврахам опубликовал проведённое им исследование безопасности Telegram. По словам Аврахама, он нашёл способ удалённо читать переписку в «защищённых» чатах Telegram для Android, которые создатели мессенджера позиционируют как безопасные от слежки.

Аврахам обратил внимание на недавний конкурс от Telegram по перехвату адреса электронной почты, за победу в котором компания обещала выплатить 300 тысяч долларов награды. В условиях конкурса говорилось, что участники могут «не только мониторить трафик, но и вести себя как сервер Telegram и использовать активные атаки». По мнению Аврахама, ему удалось провести одну из таких «активных атак».

Используя уязвимость в Chrome для Android и эксплойт TowelRoot, Аврахам смог удалённо получить корневой доступ к телефону, на котором был запущен Telegram. Он написал несколько сообщений в «секретном чате», а потом обнаружил их текст в незашифрованном виде как в памяти Android, так и в кэше приложения.

Кроме того, исследователь решил проверить, что происходит с удалёнными сообщениями, которые могут исчезать в Telegram по таймауту: по его мнению, потенциальному хакеру удалённая переписка может быть более интересна, чем сохранившаяся. Аврахам обнаружил, что удалённые сообщения исчезают из кэша, однако остаются в памяти телефона.

По словам Аврахама, он обнаружил уязвимость ещё 17 января, после чего предпринял множество попыток связаться с представителями Telegram, но не получил ответа. Спустя более чем месяц он принял решение опубликовать отчёт об уязвимости, следуя политике Zimperium о 30-дневном неразглашении.

Telegram следовало бы шифровать текст переписки при хранении его в памяти устройства и в файлах кэша, считает аналитик Zimperium.

Так называемое мощное шифрование Telegram не защищает пользователей лучше, чем это делает любой другой сайт или приложение, использующие SSL. Если вы используете Telegram, чтобы сохранить приватность вашей переписки, знайте, что он не остановит изощрённых хакеров от чтения ваших сообщений. Мы крайне рекомендуем использовать дополнительные меры безопасности для обнаружения кибератак на уровне устройства.

Цук Аврахам, специалист по безопасности Zimperium

По мнению пользователей форума Hacker News, обвинения Аврахама в уязвимости Telegram беспочвенны, так как даже при шифровании сообщений ключ к их расшифровке всё равно пришлось бы хранить на устройстве, и переписку можно было бы расшифровать, если иметь прямой доступ к системе. В случае, когда хакер завладел корневым доступом к Android, он имеет возможность не только читать содержимое памяти устройства, но и делать скриншоты окна переписки — в этом случае ему ничто не помешает нарушить приватность.

Основатель Telegram Павел Дуров заявил TJ, что публикация в блоге Zimperium скорее является саморекламой, чем описанием уязвимости.

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Павел Дуров, основатель и гендиректор Telegram

В пресс-службе Telegram рассказали TJ, что уязвимость, являющаяся ключом к чтению Аврахамом переписки в «секретных чатах», находится на уровне системы Android, а значит за её решением следует обращаться в Google.

Если представить, что у атакующего есть корневой доступ, в этом случае ни одно приложение не может быть безопасным. Например, чтобы показать что-то на экране, нужно отправить это в память устройства. Хакер с корневым доступом может просто читать эту память, так что манипуляции с файлами баз данных становятся необязательными.

Ни одно приложение Android не может заявить о защищённости от пользователя с корневым доступом. Системные уязвимости, которые дают корневой доступ, могут быть исправлены только производителем ОС. Поэтому все указанные вопросы следует адресовать Google.

пресс-служба Telegram (перевод с английского)

19 февраля пользователь «Хабрахабра» под ником visput опубликовал другое исследование некритической уязвимости в Telegram. Он обнаружил, что в отличие от клиента для iOS приложение для Android использует только одну из трёх проверок при передаче зашифрованного сообщения. При мониторинге большого объёма трафика переписки эта уязвимость давала гарантированную возможность «угадывания» секретного ключа и последующей слежки за перепиской.

По словам visput, уязвимость была исправлена ещё в декабре: Telegram обновили приложение в Google Play и внесли изменения в публичный исходный код на GitHub, а также выплатили исследователю награду в 5 тысяч долларов.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_telegram","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_android","\u043f\u0430\u0432\u0435\u043b_\u0434\u0443\u0440\u043e\u0432","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0437\u0430\u0449\u0438\u0449\u0451\u043d\u043d\u044b\u0439_\u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440","\u0432\u0437\u043b\u043e\u043c\u044b","telegram","android"], "comments": 31, "likes": 21, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 54174, "is_wide": true, "is_ugc": true, "date": "Tue, 24 Feb 2015 22:59:23 +0300", "is_special": false }
Advertisement
0
31 комментарий
Популярные
По порядку
Написать комментарий...

Развитый чайник

40

А можно ещё в метро через плечо подглядывать, как кто-то в телеграме переписывается. Дуров, где мои деньги?

Ответить

Страховой будильник

Илья
0

Вот кстати удаляемые сообщения-то можно и затереть (а то они остаются в памяти устройсвта). Я предполагаю, что они просто остаются в оперативной памяти, пока сборщик мусора не почистит. Тут действительно непорядок, хотя и небольшой. Можно же просто украсть телефон и сделать дамп оперативной памяти (не выключая, естестевенно).

Ответить

Особенный Данила

6

Шифровать находящееся в памяти бесполезно, так как ключи для расшифровки все равно тоже должны быть в памяти. Замкнутый круг.

Ответить

Христианский бокал

6

Комментарий удален по просьбе пользователя

Ответить

Противоположный Орзэмэс

DELETED
2

Нет. У меня рут, посоны...

Ответить

Смешной колос

Slow
0

Рут. Рут... Рут!

Ответить

Моральный

Mansur
1

Олдфаг в треде!1))

Ответить

Убитый глобус

3

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.

Как человек, плотно знакомый с android и работающий с ним, я категорически согласен с данным утверждением, ппкс.

Ответить

Целевой Гоша

Stalker
3

Комментарий удален по просьбе пользователя

Ответить

Целевой Гоша

2

Комментарий удален по просьбе пользователя

Ответить

Лесной танк88

0

Уязвима сама платформа, а не клиент. Переходим на айфоны и виндрфоны, друзья

Ответить

Линейный пистолет

Alexei
6

В любой ос есть дыры.

Ответить

Долгосрочный волк

Илья
0

Даже в МСВС?

Ответить

Особенный Данила

Ilya.A…
11

В МСВС не дыры, а технологические отверстия!

Ответить

Линейный

Ilya.A…
0

Когда я говорю "в любой", я это и имею введу.

Ответить

Смешной колос

Илья
7
Ответить

Плохой Валера

Alexei
1

Не забудьте получить джейл

Ответить

Убитый глобус

Alexei
1

Да нет, просто не делаем рут на ведре, и не паримся. Ну и, да, лучше огораживаем свой телефончик, коль скоро всерьёз считаете, что вам есть что и от кого скрывать.

Ответить

Предыдущий магнит

Stalker
0

вообще, в идеале не сидите под рутом. Или под админом в Винде.
Одна из лучших защит от вирусов ))

Ответить

Убитый глобус

it-trend
0

Одна из лучших защит от вирусов — мозги)

Ответить

Банальный дебаркадер

Alexei
0

Ага, побежали прям: http://tjournal.ru/club/3198

Ответить

Городской глобус

–3

В любой непонятной ситуации опровергай

Ответить

Популярный кубок

Sergey
–1

Комментарий удален по просьбе пользователя

Ответить

Поздний мангал

Владимир
1

Кеша, ты опять?

Ответить

Аналитический звук

0

Но с другой стороны, переписку-то он прочитал.
Павлу Валерьевичу теперь надо пилить собственную суперсекретную ОС

Ответить

Железный теркин30см

Сашка
1

и подключать ее к суперсекретному интернету, над которым уже работает Дотком)

Ответить

Аналитический звук

ReasonToBelieve
0

"Чтоб никто не догадался!"

Ответить

Современный кофе

0

Чувствую что Пашу скоро запарит все, он начнет разработку собственной ОСи.

Ответить

Железный яд

0

"получить корневой доступ к телефону"
Мои глаза! Ребята, неужели в редакции из технических специалистов только google translate?

Ответить

Бывший калькулятор

–41

Дуров норм отмазался. Мы сделали защищенный мессенджер чтобы никто не смог прочитать вашу переписку, ну, конечно, кроме тех, кому это надо.

Ответить

Оперативный мангал

Сергей
37

Вы статью-то читали?

Ответить
Читать все 31 комментарий
Обсуждаемое
Новости
Комика Идрака Мирзализаде вызвали в прокуратуру из-за шутки про русских и матрас с фекалиями
Поводом для проверки стал монолог Мирзализаде о сложностях, с которыми сталкиваются неславяне при поиске жилья.
Спорт
«Даже если тебе это не нравится, нужно принимать»: испанский гимнаст ответил Татьяне Навке
Он удивился, что олимпийская чемпионка не поддерживает других спортсменов, а осуждает их.
Новости
В Казани задержали основателя компании Finiko Кирилла Доронина
В отношении компании расследуют дело об организации финансовой пирамиды.
Популярное за три дня
Интернет
Hello darkness, my old friend: история бесконечной грусти Бена Аффлека, увековеченная интернетом в мемах
За годы в сети настолько привыкли ассоциировать себя с депрессивными снимками актёра, что даже в безмятежных моментах вроде отдыха с Дженнифер Лопес видят тоску.
Новости
Российская спортсменка на Олимпиаде носила на шее медальон из «Ведьмака». Разработчики игры поздравили её с победой
«Сталь для людей, серебро для монстров, золото для Виталины Бацарашкиной!», — написали разработчики.
Новости
«Видимо, обыск»: к главному редактору признанного «иноагентом» The Insider пришла полиция
Как сообщил его коллега, Роман Доброхотов должен был сегодня улететь из России.
null