Руководство Telegram отрицает наличие уязвимости в приложении для защищённого общения
25 февраля 2015 года
Руководство компании Telegram, разработавшей одноимённое приложение по защищенному обмену сообщениями, отрицает наличие в мессенджере уязвимости, позволяющей получить доступ к переписке пользователей. Предположительная брешь была обнаружена президентом Zimperium Зуком Аврахамом (англ. Zuk Avraham), о чём он написал в блоге компании в понедельник, 23 февраля 2015 года.
Аврахам не пытался напрямую взломать зашифрованные сообщения. Вместо этого он использовал эксплоит в ядре Android, позволяющий получить права суперпользователя, и проанализировал, как Telegram обрабатывает переписку в памяти устройства. Это позволило ему получить доступ к расшифрованным сообщениям.
Пресс-секретарь Telegram Маркус Ра (англ. Markus Ra) заявил, что ни одно приложение не может быть защищенным от осуществленной Аврахамом атаки.
В электронном письме изданию The Next Web Ра сообщил:
 | Ни одно приложение не может быть безопасным, если у взломщика есть привилегии суперпользователя. К примеру, чтобы показать что-нибудь на экране, нужно поместить эти данные в память. Атакующий с привилегиями суперпользователя может прочитать всю память устройства. |  |
Ра подчеркнул, что уязвимости на системном уровне наподобие той, которую использовал Аврахам, могут быть исправлены лишь производителями ОС.
Для своего исследования Аврахам использовал устройство, работающее под управлением устаревшей версии Android 4.2.2 Jelly Bean. Он проэксплуатировал уязвимость TowelRoot, позволяющую нелегитимно получить привилегии суперпользователя. После этого исследователь проанализировал, как Telegram хранит коммуникации в рамках «секретных чатов».
Telegram не использует шифрование «из конца в конец» во всех сообщениях. Для того чтобы активировать эту функцию, пользователю требуется создать секретный чат.
Аврахам создал дамп памяти процесса Telegram и поискал следы созданных им сообщений. Он обнаружил написанные им слова, сохраненные в чистом виде. Дальнейшее расследование показало, что секретные чаты хранились в файле cache4.db, находящемся в папке files, и сообщения можно было прочесть в текстовом формате. Более того, специалист утверждает, что смог найти данные удаленных чатов в памяти программы.
Эксперт уведомил Telegram об обнаруженной проблеме 18 января 2015 года, но так и не получил ответа.
Источники
править| Эта статья содержит материалы из статьи «Руководство Telegram отрицает наличие уязвимости в приложении для защищенного общения», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
