Жоден месенджер не захищає листування користувача від несанкціонованого доступу з боку спецслужб або шахраїв. Стовідсотковим рівнем безпеки не можуть похвалитися ні Telegram, ні WhatsApp, ні Viber.
Месенджер Telegram вийшов на ринок набагато пізніше, ніж WhatsApp, Viber, WeChat та інші, однак за короткий час здобув репутацію найбільш безпечного з месенджерів. Розробка засновника соцмережі «ВКонтакте» Павла Дурова була подана під гаслом «Повернемо собі право на приватність».
В основі Telegram лежить технологія шифрування листування MTProto, яку розробив брат Павла Дурова, Микола. Незабаром після запуску сервісу Дуров влаштував конкурс, де кожен бажаючий міг спробувати обійти захист месенджера. Учасникам хакатону пропонувалося отримати доступ до листування Дурова в «секретному чаті» за $200 000. Але в рамках конкурсу ніхто цього зробити не зміг.
Однак експерти скептично ставляться до Telegram, в основному через те, що шифрування листування відбувається лише в чатах, і шифрування за замовчуванням вимкнене. Головний технолог Американського союзу цивільних свобод Крістофер Согоян заявив, що позиціювання месенджера з точки зору безпеки невиправдане, оскільки компанії повинні думати про захист за замовчуванням, а не змушувати користувачів змінювати налаштування клієнта.
Шифрування – ось головна функція забезпечення конфіденційності в месенджерах, при цьому найнадійнішим вважається наскрізне. Його суть полягає в тому, що ключі для розшифрування повідомлень зберігаються на пристроях користувачів, а не на зовнішніх серверах. Відповідно, ніхто, крім користувачів, не може отримати доступ до листування. Цей формат шифрування використовується у WhatsApp, Viber, iMessage та деяких інших сервісах.
Закритість для незалежного аудиту робить MTProto потенційно вразливим для майбутніх атак, вважають експерти. Вони стверджують, що конкурси, які проводив Дуров, робилися виключно для піару, оскільки ці заходи не довели захищеності сервісу, але здатні ввести користувачів в оману.
Оскільки Telegram, як і багато інших месенджерів, використовує для авторизації відправлення повідомлень на номер телефону, отримати доступ до облікового запису й листування можна навіть не зламуючи MTProto. Справа в тому, що в основі такого способу пересилання інформації лежить технологія сорокарічної давнини Signalling System No.7 (SS7).
Спецслужби можуть перехопити повідомлення з кодом і отримати доступ до будь-якого акаунту. Раніше це продемонстрували російські, а потім німецькі хакери. А завдяки тому, що Telegram зберігає всю історію звичайних повідомлень, зловмисникам це тільки на руку.
Вразливість безпеки SS7 дозволяє, знаючи номер жертви, без особливих зусиль ініціювати процедуру відновлення доступу до акаунту, після чого перехопити повідомлення і встановити свій власний пароль. Ця вразливість зводить нанівець роль шифрування Telegram, WhatsApp та Viber і потенційно забезпечує успішність атаки на будь-який обліковий запис, прив’язаний до номера телефону.
Джерело: MacDigger
