Безопасность в Телеграм. Насколько безопасен мессенджер и можно ли взломать?
Создавая мессенджер Телеграм команда разработчиков во главе с братьями Дуровыми делали акцент на защиту личных данных пользователей и конфиденциальности переписки.
Повышенный уровень безопасности стал главной фишкой Телеграм, которая выгодно выделяет его на фоне остальных мессенджеров. Благодаря этому Телеграм обрел популярность, ведь многие пользователи Интернета устанавливают этот мессенджер, делая выбор в пользу сохранения анонимности, безопасности и тайны личной переписки. Но вместе с популярностью Телеграм обрел и недоброжелателей. В сети часто можно встретить разгромные статьи и холивары на форумах о том, что безопасность в Телеграм является мнимой, а все фишки, типа секретных чатов и зашифрованных звонков, являются пустым пиаром от Павла Дурова.
В этой статье мы попытаемся разобраться в принципах безопасности Телеграм и узнаем насколько безопасен данный мессенджер и какова вероятность, что злоумышленники смогут перехватывать и читать личные переписки пользователей.
Как устроена безопасность в Телеграм
Если вкратце, то безопасность в Телеграм основывается на криптографическом протоколе MTProto Proxy. Особенности данного протокола таковы:
Более подробно о том, как работает MTProto Proxy можно прочитать в нашей статье.
Шифрование
Как мы упоминали выше, Телеграм использует два вида шифрования: «клиент-сервер» и «клиент-клиент». Давайте рассмотрим подробнее, в чем их предназначение и их отличия.
Клиент-сервер
Большинство мессенджеров используют самый распространенный вид шифрования «клиент-сервер». Работает он таким образом: Дмитрий отправляет сообщение Наталье через мессенджер. Сообщение от Дмитрия в зашифрованном виде поступает на сервер мессенджера, сервер его расшифровывает, после чего вновь его зашифровывает и отправляет Наталье.
То есть сообщения на пути от устройства Дмитрия к серверу и от сервера к устройству Натальи безопасно защищены от перехвата. Но в случае, если на сервер будет произведена успешная атака, то вся незашифрованная информация может попасть в руки к злоумышленникам.
Клиент-клиент
Данный вид шифрования называется оконечным или сквозным, так как передача данных от устройства отправителя к устройству пользователя передается «сквозь» сервер. То есть они передаются через сервер, но сам сервер не может расшифровать эти данные, потому что ключи шифрования находятся только на устройствах пользователей, а сами данные хранятся на сервере в зашифрованном виде.
Такой вид шифрования гарантирует что все сообщения, звонки, аудиофайлы, видеофайлы, изображения, документы и другие данные защищены от попадания в третьи руки — они доступны только пользователям переписки и являются самыми безопасными. Такой вид шифрования использует в секретных чатах Телеграм.
Далее мы рассмотрим как пользователь может повысить уровень безопасности в мессенджере Телеграм.
Секретные чаты
Итак, если пользователь желает отправить крайне конфиденциальную информацию другому пользователю, то ему следует воспользоваться секретным чатом Телеграм. Трафик передаваемый в секретном чате шифруется от устройства к устройству.
Сообщение никто не сможет перехватить и расшифровать, даже разработчики. Этот способ считается самым безопасным в Телеграм.
При этом в секретном чате есть возможность установить таймер автоматического уничтожения сообщения с диапазоном. Также в секретном чате отсутствует возможность переслать сообщение третьему лицу — опция пересылки здесь отключена. А если пользователь попытается сделать скриншот переписки, то собеседник получит об этом уведомление.
Но учтите, что вы не застрахованы в тех случаях, когда злоумышленник может сфотографировать экран устройства, на котором отображена переписка.
Облачный пароль
Каждый раз входя в Телеграм с нового устройства, приложение будет требовать от пользователя ввод одноразового кода подтверждения, который приходит на телефон пользователя в виде SMS-сообщения или уведомления в Телеграм.
Но если злоумышленник имеет возможность перехватить SMS-сообщения пользователя, то данный способ защиты не особо поможет. Поэтому рекомендуется использовать двухэтапную аутентификацию, в обиходе называемую облачным паролем. Это значительно повысит безопасность в Телеграм.
Установив облачный пароль, вход в Телеграм с нового устройства станет более безопасным, так как кроме одноразового кода подтверждения придется ввести единый дополнительный пароль, который известен только владельцу аккаунта Телеграм. Также если третьи лица попытаются изменить данный пароль, на адрес электронной почты пользователя придет уведомление о смене пароля, тем самым сообщая о подозрительных действиях с его аккаунтом.
О том, как правильно настроить облачный пароль, можно прочитать в данной стать: Облачный пароль Телеграм: как настроить, установить и пользоваться.
Код-пароль
Разработчики также позаботились о том, чтобы усложнить доступ злоумышленников к перепискам пользователя, если устройство попало к ним в руки. Установив код-пароль, доступ к чатам будет заблокирован. Код-пароль может быть установлен в виде ПИН-кода или обычного пароля. Но его легко сбросить, переустановив приложение на устройстве.
Поэтому настоятельно рекомендуется использовать опцию облачного пароля, который помешает злоумышленнику войти в аккаунт пользователя Телеграм.
Код-пароль очень удобен для защиты переписок от любопытных глаз коллег или домочадцев. Так что наличие кода-пароля не будет лишней мерой безопасности в Телеграм.
Чтобы установить код-пароль нужно совершить шаги следующей последовательности:
Настройка код-пароля на гаджетах с ОС iOS и Android идентична. Для настольной версии Телеграм данный алгоритм настройки также подойдет.
Настройка видимости номера телефона
Для настройки данной опции пользователю нужно зайти в Настройки/Конфиденциальность/Номер телефона и там поставить нужные ограничения. В данных настройках можно как запретить всем видеть номер телефона, так и сделать исключения для определенных пользователей.
Отображение последней активности
Также одним из принципов безопасности в Телеграм является сокрытие информации об активности пользователя в мессенджере. Любой пользователь может увидеть, когда последний раз другой пользователь входил в Телеграм. Поэтому разработчики добавили опцию «Последняя активность», в которой пользователь может настроить отображение данной информации.
В случае сокрытия активности от всех, информация о последнем входе пользователя будет отображаться приблизительно. Например, значение «недавно» может означать период от 1 минуты до 1 дня, а значение «был давно» — от 1 недели и дольше. Данную опцию можно настроить, проделав следующие шаги: Настройки/Конфиденциальность/Последняя активность.
Также о других полезных функциях мессенджера можно прочитать в статье о фишках Телеграм.
Попытки взлома Телеграм
Взлом Телеграм является одним из популярных трендов последних лет. В сети можно встретить статьи о том, как где-то кого-то взломали, перехватили управление группами и каналами, но подтверждения из официальных авторитетных источников о таких случаях нет. Да и обычно «уводят» телеграм каналы и группы из-за беспечности владельцев, которые пренебрегают элементарными правилами безопасности Телеграм.
Многие жертвы таких случаев не пользовались двухэтапной аутентификацией.
Иногда можно натолкнуться на критику Телеграм от авторитетных изданий, которые специализируются на информационной безопасности. Критика в основном касается того, что компания Телеграм не полностью раскрывает исходный код мессенджера. Также критикуют тот факт, что разработчики Телеграм для шифрования используют модификации стандартных протоколов, что может привести к непредсказуемым последствиям.
Тем не менее Павел Дуров уверен в безопасности Телеграм. Он пару раз анонсировал конкурс на взлом Телеграм. В качестве награды один раз предлагал 200 000 долларов в биткоинах, а в другой раз — 300 000 долларов. Но никому не удалось получить вознаграждение, так как победителей не было выявлено.
Чуть ниже мы рассмотрим несколько известных попыток взлома Телеграм.
Отключение СМС-сервиса
Павел Дуров заявлял, что было пару случаев, когда российские спецслужбы пытались получить доступ к Телеграм-аккаунтам некоторых оппозиционеров и журналистов. Первый случай произошел в 2016 году с активистом Олегом Козловским и сотрудником Фонда борьбы с коррупцией Георгием Албуровым.
Они жаловались на то, что их аккаунта в мессенджере Телеграм были взломаны, а прием SMS-сообщений был отключен. Олег Козловский сам разобрался в этой ситуации и пришел к такому заключению, что компания МТС целенаправленно отключила ему сервис доставки сообщений. Когда злоумышленники вошли в его аккаунт с другого устройства, он не получил SMS-уведомление с кодом авторизации.
В его аккаунт Телеграм он получил уведомление о том, что в аккаунт получен доступ с определенного устройства (в уведомлении указывается IP-адрес и устройство), но он это уведомление увидел только утром. Примечательно что в аккаунт Георгия Албурова через несколько минут вход был произведен с того же IP-адреса. Спустя несколько часов МТС опять включил сервис доставки SMS. Козловский обратился в техподдержку МТС с просьбой узнать, почему ему был отключен сервис доставки, но в ответ получил отказ и рекомендацию сделать письменный запрос.
В итоге Козловский предположил, что злоумышленники могли получить доступ к коду из SMS либо через систему CОРМ, либо через отдел техбезопасности компании МТС. Позже Дуров в переписке с редактором радиостанции «Эхо Москвы» прокомментировал этот случай, предположив, что спецслужбы оказывают давление на операторов сотовой связи. И порекомендовал использовать двухэтапную аутентификацию, о которой мы писали выше.
Второй известный случай произошел в 2019 году. О попытке взлома заявили несколько журналистов, которые освещали протесты в Екатеринбурге по поводу строительства храма. К счастью, их аккаунты не были взломаны, так как у них была настроена двухэтапная аутентификация. Но уведомления о попытке входа с другого устройства они получили. Дуров также прокомментировал данную ситуацию в своем официальном телеграм-канале. Он написал, что власти безуспешно попытались взломать аккаунты в Телеграм журналистов и акцентировал внимание на то, что власти авторитарных стран посягают на конфиденциальность и безопасность граждан.
Фишинг
Одним из способов получить несанкционированный контроль над аккаунтом пользователя Телеграм является фишинг. В случае с фишингом пользователь получает уведомление в мессенджер Телеграм от аккаунта маскирующегося под аккаунт официальной поддержки Телеграм.
В данном уведомление сообщается информация о том, что якобы обнаружена подозрительная активность в аккаунте пользователя и он должен немедленно подтвердить свои действия, в противном случае его аккаунт будет заблокирован.
Для подтверждения в уведомлении злоумышленники включают ссылку на фейковую страницу, визуально полностью копирующую официальный сайт Телеграм. Наподобие, telegram-antispam.org. На фейковом сайте пользователь должен будет указать номер мобильного телефона, прикрепленного к аккаунту Телеграм, код подтверждения и облачный пароль, если он у него включен. Если пользователь забыл пароль, то мошенники просят владельца аккаунта пройти стандартный процесс восстановления пароля. Как только обманутый пользователь вводит всю вышеперечисленную информацию, злоумышленники получают полный контроль над аккаунтом Телеграм.
Они привязывают украденный аккаунт к другому номеру телефона и получают полный доступ к чатам, группа и каналам пользователя. Особенно в группе риска находятся те пользователи, который ведут собственные телеграм-каналы. Они обычно являются лакомым кусочком для злоумышленников, так как те в свою очередь могут монетизировать украденные канала или использовать в более гнусных целях.
Чтобы не стать жертвой фишинга, редакция t9gram рекомендует пользователям придерживаться нескольких правил:
Шпионские программы на устройстве
Доступ к аккаунту Телеграм злоумышленники также могут получить с помощью установки шпионским программ на устройстве пользователя. Например, как FinSpy и Skygofree. К сожалению, здесь двухэтапная аутентификация не поможет защитить свои данные. Поэтому пользователь должен быть бдительным в том, какое он программное обеспечение или приложение устанавливает на свой смартфон или ПК и убедиться в том, что на его устройствах установлены хорошие антивирусные программы, тогда ваш Телеграм будет в безопасности.
Телеграм и отношения с правительствами некоторых стран
В начале статьи мы упоминали, что руководство Телеграм ценит право пользователей на конфиденциальность переписки и считает, что правительство и спецслужбы не должны вмешиваться в частную жизнь граждан. Тем не менее компания Телеграм в 2018 году заявила, что меняет политику конфиденциальности мессенджера и готова предоставлять информацию о пользователях спецслужбам. Но только на законных основаниях, то есть при наличии судебного ордера, который подтверждает, что определенный пользователь подозревается в терроризме, руководство компании готово спецслужбам предоставить номер мобильного телефона и IP-адрес пользователя. Но переписка так и останется конфиденциальной.
При этом в Телеграме открыли специальный канал, в котором будет публиковаться информация о сотрудничестве со спецслужбами. На сегодняшний день о таких случаях сотрудничества информации нет, упомянутый канал пустует.
Блокировка в Иране
Существование оппозиционной группы стала формальным поводом для блокировки Телеграм на территории страны. Частично Телеграм на территории Ирана был блокирован с конца 2017 года, а полностью — с апреля 2018 года.
Конфликт с Роскомнадзором
Также Телеграм не миновал конфликт и с правительством РФ, а точнее с Роскомнадзором. Вследствие принятия законопроекта Яровой, все телекоммуникационные компании были обязаны плотно сотрудничать со спецслужбами, то есть по первому же запросу спецслужб предоставлять информацию о «подозрительных» пользователях.
И в этой ситуации Дуров опять не изменил своим принципам. Камнем преткновения стало нежелание Дурова предоставить Роскомнадзору ключи шифрования, которые бы дали доступ к перепискам пользователя. При этом Дуров грамотно объяснял, что в случае использования сквозного шифрования это технически невозможно, но Роскомнадзор настаивал на своем. В итоге это вылилось в судебные тяжбы и привело к «кривой» блокировке Телеграм на территории РФ. Как это начиналось, можно прочитать в данной статье.
К счастью, на сегодняшний день конфликт с Роскомнадзором исчерпан и беспрепятственный доступ к мессенджеру Телеграм на территории РФ потихоньку восстанавливается.
Деанонимизация протестующих в Гонконге
В Китайской Народной Республике Телеграм тоже блокируют. И делается это по причине того, что с помощью мессенджера оппозиция координирует свои атаки против коммунистического правительства страны. То, что Телеграм пал в немилость к китайскому правительству, неудивительно. В Китае власти требуют от всех телекоммуникационных компаний устанавливать свои сервера на территории страны и давать спецслужбам доступ к перепискам пользователям. И как обычно, Дуров на это не согласился.
Принципы либертарианства превыше всего. Кстати, ознакомиться с биографией Павла Дурова можно ознакомиться в данной статье. Тем не менее Телеграм заблокирован в Китае частично, например, в Гонконге и Макао мессенджер функционирует нормально.
Но в 2019 году случилось неприятное событие. В Гонконге летом начались протесты против правительства в связи с законом об экстрадиции. Протестующие координировали свои действия через групповые чаты в Телеграм. В какое-то время спецслужбы начали идентифицировать личности протестующих и подозрение пало на Телеграм — якобы команда мессенджера выдала информацию о них спецслужбам. На самом деле это не так, безопасность в Телеграм не изменилась.
Выше было упомянуто, что пользователь сам может настроить уровень конфиденциальности в Телеграм. В случае с сокрытием номера телефона, пользователь может скрыть свой номер телефона от всех. НО есть один нюанс.
Даже если пользователь выбрал опцию скрыть телефон от всех, то люди, у которых номер телефона пользователя занесен в список контактов, все равно будут видеть его номер в Телеграме. Именно с помощью этой лазейки спецслужбы вычисляли личности протестующих.
Злоумышленник (в данном случае, хакер, которого наняли власти Китая) вносит в свой список контактов десятки тысяч телефонных номеров. Далее он заходит в Телеграм, синхронизирует контакты и вступает в целевые группы, где протестующие координируют свои движения. После чего злоумышленник открывает в Телеграме список контактов, нажимает на контакт пользователя и видит, какие у него с ним есть общие группы, то есть он видит, состоит ли Юн Ли в той же протестной группе, что и злоумышленник. Таким образом и происходила деанонимизация в Телеграм.
Защититься от такого способа деанонимизации можно только в том случае, если пользователь оформил свою SIM-карту на подставное лицо. Возможно, разработчикам Телеграм следовало бы в будущем придумать способ защиты от деанонимизации и убрать данную лазейку. На сегодняшний момент это самая серьезная уязвимость в безопасности Телеграм.
В целом мессенджер Телеграм оснащен высоким уровнем безопасности и дает пользователю право выбора решать самостоятельно, насколько сильно он хочет быть защищен. И тем не менее сколько бы разработчики не снабжали мессенджер дополнительными фишками безопасности, пользователь должен помнить, что уровень безопасности зависит в первую очередь от его собственной бдительности.
Безопасное общение в Telegram
Telegram — это платформа для мгновенного обмена личными текстовыми и голосовыми сообщениями. Также в мессенджер реализована возможность создавать каналы и подписываться на них, вести переписку через «секретный чат», использовать ботов. В настоящее время общая аудитория пользователей Telegram составляет больше 500 млн. Разберемся, почему в приложении необходимо использовать защиту данных и как настроить безопасность с приватностью.
Секретные чаты и end-to-end
Технология end-to-end реализована для защиты всех данных, включая звонки, сообщения, мультимедиа и др. от посторонних лиц. В Telegram данная функция присутствует, только ее необходимо активировать вручную. Поэтому если пользователю важна конфиденциальность, рекомендуется использование чатов, где функция действует по умолчанию, в приложении такими являются «секретные чаты». Стоит отметить, что функция не поддерживается в групповых чатах.
В «секретных» чатах все файлы без исключения передаются с применением сквозного шифра, а действующим ключом для расшифровки обладают только собеседники, отсюда даже непосредственно Telegram не имеет возможности получить доступ к передаваемой информации, к тому же она не хранится на сервере, а только на устройствах, в которых была выполнена переписка, при выходе из системы или удалении приложения вся информация уничтожается в автоматическом режиме.
Данные чаты доступны для всех платформ и ПО, кроме Windows и Linux.
Создание «секретного чата»
Для создания нового «секретного чата» необходимо зайти в профиль собеседника, кликнуть на кнопку «еще» или значок с тремя точками, а затем «начать секретный чат».
После подтверждения откроется чат, где все передаваемые сообщения будут защищены сквозным шифрованием. В чате можно настроить время, после истечения которого переданные сообщения автоматически удалятся: нужно только нажать на значок циферблата в поле ввода сообщения. Естественно, активация такой функций не препятствует собеседнику сделать скрин переписки, но уведомление об этом появится в чате (исключение составляют устройства на macOS). С одним и тем же пользователем можно создавать несколько чатов одновременно.
Облачные и групповые чаты
По умолчанию сквозное шифрование в приложении отключено, облачные и групповые чаты доступны Telegram не только в виде мета-данных (адресат переписки, время отправления сообщений, объем общения), но и полное содержимое самой переписки. Политика конфиденциальности утверждает, что такие данные не используются платформой для рекламы, но условия в любой момент могут измениться. Поэтому, если есть потребность в строгой конфиденциальности, рекомендуется активировать сквозное шифрование и общаться в «секретных» чатах. Визуально облачный и секретный чаты имеют мало различий: в «секретном» будет значок замка рядом с ником или номером телефона, если изображение отсутствует, то оптимальнее всего создать новый чат и включить шифрование.
Двухфакторная(2-Fa ) авторизация в телеграм(облачный код-пароль) для защиты аккаунта
Для комфортного и спокойного использования Telegram рекомендуется настроить конфиденциальность и безопасность. Чтобы выполнить манипуляцию, следует открыть «настройки», соответствующий значок располагается в нижнем углу справа, а затем выбрать подпункт «конфиденциальность».
Поскольку все люди периодически оставляют разблокированный гаджет без присмотра, необходимо обезопасить свою переписку от посторонних взглядов. Для этого достаточно кликнуть на подпункт «код-пароль» и нажать «включить код-пароль», а затем придумать уникальный пин-код, который точно не забудется, после ввода пароля, потребуется его подтверждение.
Следующим этапом рекомендуется настроить автоблокировку. Для этого нужно нажать на соответствующий подпункт и установить небольшой параметр, например, в диапазоне 1-5 минут. Если гаджет поддерживает вход по личному отпечатку пальца или по функции распознавания лица, вполне можно сразу же и активировать выбранную опцию.
После этого целесообразно обезопасишь личный аккаунт от угона при помощи уникальной двухфакторной аутентификации. С учетом того, что номинальным способом подтверждения входа в личный аккаунт приложения является одноразовый код из sms-сообщений, вторым звеном подтверждения рекомендуется создание пароля.
Для этого в разделе «Конфиденциальность» следует кликнуть на подпункт «Двухэтапная аутентификация» (актуален для андроид) или «облачный пароль» (характерен для iOS), а далее установить надежную комбинацию по своему усмотрению. Здесь следует понимать, что введение пароля будет происходит редко, поэтому высока вероятность забыть комбинацию. Чтобы этого не произошло, пароль лучше всего сохранить в надежном месте, можно воспользоваться менеджером паролей.
Если все же облачный пароль забыт, то придется совершить сброс аккаунта. Смысл такого действия заключается в отправлении заявки на полное удаление личного аккаунта, после заявки будет период ожидания в течение недели, по прошествии которой аккаунт будет удален, причем вместе со всеми сохраненными ранее контактами, подписками и облачными чатами. Только после этого появляется возможность создать новый профиль на прежний телефонный номер.
Настройка конфиденциальности: скрытие личного номера и онлайн статуса
Чтобы личная информация не стала доступна для миллионов других пользователей, необходимо настроить приватность своего профиля. Для этого следует открыть настройки, выбрать пункт «Конфиденциальность» и изменить установленные по умолчанию параметры, которые изначально доступны всем. Рекомендуется внести следующие изменения:
Кроме этого, в категории «Конфиденциальность», подпункт «Управление данными», всегда можно очистить в хранилище приложения информацию, которая может показаться лишней.
Полезные рекомендации по безопасности в Telegram
Перечисленных в статье советов обычно вполне хватает для безопасной работы в приложении, но для пользователей, кто хочет максимально обезопасить свое общение, есть еще ряд рекомендаций:
А самое главное, необходимо не допускать ситуаций, когда к вашему устройству могут получить доступ сторонние лица, необходимо всегда блокировать гаджет пин-кодом, регулярно обновлять установленные программы и операционную систему, а также следить за антивирусной защитой.
