Telegram активно позиционируется как очень быстрый, функциональный и безопасный мессенджер. И если к скорости , как и к обширному функционалу, претензий нет, то к безопасности могут возникать вопросы.
Какие темы здесь будут подняты:
- Шифрование сообщений в личных чатах;
- Дополнительная защита;
- Привязка к номеру телефона;
- Анонимность в неличной переписке.
- Стоит ли Telegram вообще использовать?
- Рекомендации по безопасному использованию
Поехали.
1. Давайте проговорим основное заблуждение многих пользователей про шифрование сообщений в личных чатах.
Обычные чаты в телеграме не полностью безопасны. Сквозное шифрование (end-to-end encryption) имеют только секретные чаты и именно поэтому они привязаны к устройствам, где был начат чат. Больше нигде кроме конечных устройств данные не хранятся. Если Вы дорожите какой-то информацией - используйте секретный чат, где так же можете добавить таймер на автоматическое удаление сообщений после их прочтения. Вы можете быть уверены на очень близкие к 100% цифры, что без физического доступа к одному из двух устройств, учавствующих в переписке, Ваши сообщения останутся только Вашими сообщениями. Больше информации про реалзиацию этого вида шифрования в Telegram тут.
Обычные чаты (Telegram называет их облачными чатами) тоже имеют шифрование, когда сообщения ходят между серверами или хранятся на них. Больше информации тут. При этом разница в том, что ключи шифрования должны быть ещё как минимум у платформы, иначе бы к этой информации нельзя было получить такой удобный доступ с любого вашего устройства и в любое время, пока учётная запись не удалена. Преимущества облачных чатов в том, что именно их меньшая защищённость позволяет иметь гораздо более широкий фукнционал, как например, редактирование сообщений. Обратная же сторона этого - достаточно доступа к вашей учётной записи с абсолютно любого устройства для полного доступа ко всей информации в обычных чатах.
Но доступ ведь не так ведь и легко получить, да?
Есть 2 опции:
- SMS;
- код доступа на уже подключенных устройствах;
В SMS варинате нужно всего лишь перехватить SMS на номер используемый при регистрации. К сожалению, существует множество способов, чтобы получить SMS с определённого номера. Сложные способы предполагают разные варианты взлома SIM карт или создание виртуальных мобильных сетей в которые попадают SIM карты. Одна из причин возможностей технического взлома в том, что протоколы, которые используются в SIM картах, создавались очень давно, их очень болезненно исправлять и потребуется обновление миллиардов SIM карт. Есть и более простые варианты, предполагающие установку переадресации на Ваш номер, и они ещё в меньшей степени относятся к взлому. Или даже ещё более популярные и простые варианты с выпуском замены вашей SIM карты.
В случае кода доступа на другие используемые устройства всё чуть сложнее. Тут уже действительно нужно иметь физический или удалённый доступ к любому из устройств или применять навыки социальной инженерии, чтобы этот код выманить у человека обманным путём.
Всё ли так плохо?
2. Облачный пароль обязателен к использованию! Иначе зачем Вам такой защищённый мессенджер?
Получив не самым лёгким путём код проверки, злоумышленнику предстоит столкнуться с дополнительным паролем, который при правильном подходе к созданию и хранению паролей (кстати надо об этом написать статью, добавлю её сюда, как напишу) делает взлом практически невозможным. Если только этот пароль по каким-то причинам Вы не расскажете сами.
Теперь давайте поговорим об анонимности. Ведь она тоже неразрывно связана с безопасностью, так?
3. Давайте обсудим привязку к телефону.
Почему вообще все мессенджеры (и Telegram не исключение) хотят получить доступ к нашим телефонным номерам?
Есть множество причин: исключить возможность создания множества учётных записей или для того, чтобы иметь более удобный способ подтверждения доступа к устройству или учётной записи. Но самое важное это доступ к контактам.
Когда вы создали учётную запись в мессенджере, другие люди могут узнать что Вы в нём зарегистрировались и с Вами уже можно начать общаться в этом мессенджере. Или например удобно узнавать, когда кто-то из Ваших контактов, которыми вы возможно не задумываясь поделились с сервисом, присоединился к мессенджеру. Но здесь таятся и опасности. Например по умолчанию ваш телефонный номер в вашей учётной записи виден всем. Это можно изменить в настройках, но уже открывает простор для создания баз данных, где учётная запись Telegram с определённым идентификатором (об этом чуть позже подробнее) уже связана с номером телефона. Как связать телефонный номер с личностью? К сожалению, в разных сервисах часто случаются утечки персональных данных, где, например могут быть связки ваших данных, таких как телефонный номер и имя, адрес или что-нибудь ещё. Такие данные мы оставляем, например при покупках онлайн и офлайн. Позже такие данные собираются кибермошенниками и продаются на специализированных ресурсах для последующего использования с вероятно недобрыми намерениями.
4. Анонимность сообщений в неличной переписке.
Отличительная черта Telegram ещё заключается в групповых чатах, каналах и комментариях в них. Это самая уязвимая часть мессенджера с точки зрения анонимности. У каждого пользователя или сообщения есть уникальные идентификаторы (ID) и эти ID с помощью специальных инструментов можно извлекать из публичных чатов; администраторы каналов могут таким же образом определять подписчиков их каналов, чтобы позже, например, связывать ваши сообщения из любых других, публичных, групповых, личных чатов с вашим номером телефона или даже именем и адресом с помощью способов описанных выше.
Но есть проблема ещё серьезнее. Допустим ваш номер телефона может добавить любой незнакомый человек в Telegram и он сможет узнать зарегистрированы ли в мессенджере, увидеть Ваш профиль и связать Ваш номер телефона со всей вашей публичной перепиской в Telegram. Чуть детальнее про эту уязвимость можно узнать здесь.
В ответ на эту проблему Telegram уже дал возможность включить функцию, которая позволит этому сценарию случится только, если человек который пытается добавить Вас в контакты, уже есть в Ваших контактах. Но это опция отключена по умолчанию. Просто потому, что, если она будет включена у всех, то будет проблематично добавлять новые контакты.
В целом стоит иметь ввиду что стоит очень внимательно относится к тому, что Вы пишете в публичных чатах, потому что иногда кажется, что виртуальный мир не имеет последствий для реального, но иногда эти миры могут пересекаться сильнее чем кажется.
5. Стоит ли использовать Telegram?
Какие альтерантивы? Если безопасность приоритет, то Signal. На текущий момент это общепризнанный стандарт для максимально безопасного общения, со всеми вытекающими из этого функциональными недостатками. Но мало что может заменить Telegram по богатству функционала, качеству его работы для обычного ежедневного использования и уже имеющейся аудитории. Это тот мессенджер, который я с огромным удовольствием использую каждый день. Другие мессенджеры имеют отличия мало того что в плане безопасности, но и в плане функционала. Например, в WhatsApp на момент написания статьи всё ещё нельзя редактировать сообщения...
6. Рекомендации по безопасности и приватности в Telegram
- Если продолжительное время Ваш номер телефона был доступен всем в вашей учётной записи, то удалите полностью свою учётную запись и создайте новую, чтобы разрушить вероятно уже сохранённую злоумышленниками связь ID учётной записи - номер телефона.
- Избегайте просьб мессенджера получить доступ к Вашим контактам без необходимости
- Скройте номер мобильного телефона в настройках приватности
- Запретите добавлять Вас в контакты по номеру телефона
- Держите актуальным список устройств, которые имеют доступ к Вашей учётной записи
Надеюсь информация была полезна
Бонусом недавняя сводка данных о том какую информацию могут предоставить мессенджеры спецслужбам по запросу.
Хотите больше всяких интересных гайдов или узнать больше обо мне? Нет?:( Но если вдруг всё же, то тут.