Вокруг безопасности Telegram снова ломаются копья: 30 октября американский разработчик заявил, что Telegram хранит переписку в незашифрованном виде. Но на следующий день Павел Дуров ответил, что претензии беспочвенны. Каков будет вердикт экспертов по безопасности?
Ранее американский инженер Натаниэль Сачи сообщил, что приложение Telegram Desktop не зашифровывает переписку пользователя и хранит ее в базе данных SQLite. Это означает, что программа переводит переписку в текстовые файлы, которые лежат в системе в незашифрованном виде. Причем там хранятся сообщения как из открытых чатов, так и из «секретных». Такую же проблему Сачи обнаружил и в другом мессенджере, считавшемся хорошо защищенным, — Signal. Еще Сачи обратил внимание, что пароль, который необходимо ввести при входе в настольную версию Telegram, не защищает файлы, сформированные в SQLite.
Павел Дуров в очередной раз вынужден отстаивать репутацию своего мессенджера. В своем телеграм-канале он заявил, что российские СМИ распространяют сообщение об уязвимости, которая на самом деле таковой не является: «C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: если бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения».
Известно, что команда Дурова выплачивает вознаграждения всем, кто помогает находить уязвимости в мессенджере, и тем самым помогает улучшить его надежность. Но Сачи, видимо, ничего не получит.
«В данном случае и та, и другая сторона несколько искажает факты. Уязвимости как таковой нет. При наличии удаленного доступа к ПК злоумышленник и так все получает, включая тексты чатов. А компьютеры Macintosh, для которых актуально хранение секретных чатов, защищены FileVault. Действительно, при доступе к компьютеру жертвы (или каким-либо иным образом — к локальной базе данных SQLite, в которой хранит переписку Telegram) можно восстановить информацию и прочитать ее, но получить такой доступ непросто», — объясняет руководитель департамента системных решений Group-IB Антон Фишман.
Во-первых, в настольной версии возможность создавать Secret-Chat присутствует только на Mac, в приложении из официального магазина приложений. Windows-версия этого не позволяет. Во-вторых, злоумышленник должен сначала суметь получить такой доступ: MacOS является достаточно защищенной операционной системой, разработчики которой внимательно следят как за появлением вредоносных программ под нее, — и достаточно быстро выпускают патчи, — так и за теми приложениями, которые публикуются в App Store. В-третьих, на компьютерах Mac уже очень давно по умолчанию включено полнодисковое шифрование FileVault, что предотвращает риск получения доступа к базе при потере устройства или диска из него. В-четвертых, если у злоумышленника уже есть удаленный доступ к вашему компьютеру (он мог получить его через вредоносные ссылки, фишинговые сайты, хакерские атаки на сервер и т.д.), то он и так (без использования Telegram) может получить доступ к оперативной памяти, где хранится вся загруженная в нее информация, в том числе и текст чатов.
«С моей точки зрения, это нельзя назвать уязвимостью, так как в шифрованном виде на диске приложения хранят данные крайне редко, — соглашается руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. — Разработчики Telegram прямо заявляют, что десктопная версия не поддерживает шифрованные секретные чаты и сквозное (end-to-end) шифрование. Если нужно защитить данные в случае потери ноутбука, то следует использовать полнодисковое шифрование, оно доступно практически для всех популярных операционных систем».
В сухом остатке: уязвимостей в самом Telegram нет. Однако при наличии удаленного доступа к ПК злоумышленник получит все данные, какие захочет, включая тексты чатов Telegram.