14 августа 2018

Новость про деанонимизацию Telegram – это не новость



Комментирует ведущий аналитик «СёрчИнформ» Алексей Парфентьев.


На прошлой неделе газета «Известия» сообщила, что российские специалисты разработали программу, позволяющую узнать номер телефона пользователя Telegram по его юзернейму. «Это даст возможность правоохранительным органам, запросив информацию у операторов связи, установить личность абонента. Таким образом, до сих пор считавшийся анонимным мессенджер перестает быть таковым», – процитировало издание выводы экспертов.

Эксперты представляют «Центр исследований легитимности и политического протеста». Его руководитель сообщил, что анализ API (часть программного интерфейса приложения) помог выявить в мессенджере уязвимость, позволяющую раскрывать номера мобильных пользователей.

Я отношусь к этой новости скептически: API-интерфейс Telegram создан давно, хорошо описан и задокументирован. В нем всегда были методы, позволяющие получать на запрос телефон, никнейм, имя или фамилию. Зарегистрировать аккаунт без телефона невозможно, так как в Telegram это первичный ключ идентификации. Остальное – опционально. Вы вполне можете вообще не создавать никнейм и не заполнять другую дополнительную информацию.

Может ли «Центр исследований легитимности и политического протеста» действительно получить детали о пользователе без номера в ответ на API запрос — очень сомневаюсь. (В то же время никто не мешает вам заиметь огромную базу активных номеров и опрашивать никнеймы по этой базе – это работает). Мы в компании не нашли подтверждений тому, что метод коллег из «Центра исследований» работоспособен.

Поражает масштаб раскрутки этой новости: она, по факту, и не новость. А информация о действительно серьезных проблемах у мессенджеров не выходит за пределы специализированных СМИ или даже форумов. К примеру, пару лет назад специалисты ИБ-компании CheckPoint нашли способ, позволяющий незаметно для владельца получать доступ к телеграм-переписке и даже отправлять сообщения от чужого имени. На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК. Это, в частности умеет наша DLP-система «Контур информационной безопасности СёрчИнформ».

Комментариев нет:

Отправка комментария