Безопасность в Телеграм. Насколько безопасен мессенджер и можно ли взломать?

2 месяца назад
Безопасность в Телеграм
Безопасность в Телеграм

Создавая мессенджер Телеграм команда разработчиков во главе с братьями Дуровыми делали акцент на защиту личных данных пользователей и конфиденциальности переписки.

Повышенный уровень безопасности стал главной фишкой Телеграм, которая выгодно выделяет его на фоне остальных мессенджеров. Благодаря этому Телеграм обрел популярность, ведь многие пользователи Интернета устанавливают этот мессенджер, делая выбор в пользу сохранения анонимности, безопасности и тайны личной переписки. Но вместе с популярностью Телеграм обрел и недоброжелателей. В сети часто можно встретить разгромные статьи и холивары на форумах о том, что безопасность в Телеграм является мнимой, а все фишки, типа секретных чатов и зашифрованных звонков, являются пустым пиаром от Павла Дурова.

В этой статье мы попытаемся разобраться в принципах безопасности Телеграм и узнаем насколько безопасен данный мессенджер и какова вероятность, что злоумышленники смогут перехватывать и читать личные переписки пользователей.

Как устроена безопасность в Телеграм

Как устроенна безопасность в Телеграм
Как устроенна безопасность в Телеграм

Если вкратце, то безопасность в Телеграм основывается на криптографическом протоколе MTProto Proxy. Особенности данного протокола таковы:

  • Использование секретного ключа вместо стандартной связки "логин+пароль" (создание ключа происходит в момент регистрации клиента и подвергается надежному шифрованию);
  • Использование двух видов шифрования: клиент-сервер (для обычного обмена сообщениями) и клиент-клиент (для секретных чатов);
  • Передача трафика через каналы Телеграм, замаскирована под стандартное TSL/SSL-соединение, но внутри данные зашифрованы таким образом, что ничего невозможно распознавать;
  • MTProto Proxy — это специальный тип прокси, разработанный конкретно под мессенджер Телеграм, а это значит, что другие приложения на нем не работают, а обычный интернет-трафик через данный протокол нельзя передавать. 
Как устроен MTProto Proxy
Как устроен MTProto Proxy

Более подробно о том, как работает MTProto Proxy можно прочитать в нашей статье.

Шифрование

Шифрование в Телеграм
Шифрование в Телеграм

Как мы упоминали выше, Телеграм использует два вида шифрования: "клиент-сервер" и "клиент-клиент". Давайте рассмотрим подробнее, в чем их предназначение и их отличия.

Клиент-сервер

Большинство мессенджеров используют самый распространенный вид шифрования "клиент-сервер". Работает он таким образом: Дмитрий отправляет сообщение Наталье через мессенджер. Сообщение от Дмитрия в зашифрованном виде поступает на сервер мессенджера, сервер его расшифровывает, после чего вновь его зашифровывает и отправляет Наталье.

То есть сообщения на пути от устройства Дмитрия к серверу и от сервера к устройству Натальи безопасно защищены от перехвата. Но в случае, если на сервер будет произведена успешная атака, то вся незашифрованная информация может попасть в руки к злоумышленникам.

☝️
Телеграм такой вид шифрования использует для обычных чатов, в том числе и групповых. 

Клиент-клиент

Данный вид шифрования называется оконечным или сквозным, так как передача данных от устройства отправителя к устройству пользователя передается "сквозь" сервер. То есть они передаются через сервер, но сам сервер не может расшифровать эти данные, потому что ключи шифрования находятся только на устройствах пользователей, а сами данные хранятся на сервере в зашифрованном виде.

Такой вид шифрования гарантирует что все сообщения, звонки, аудиофайлы, видеофайлы, изображения, документы и другие данные защищены от попадания в третьи руки — они доступны только пользователям переписки и являются самыми безопасными. Такой вид шифрования использует в секретных чатах Телеграм.

Оконечное шифрование в Телеграм
Оконечное шифрование в Телеграм

Далее мы рассмотрим как пользователь может повысить уровень безопасности в мессенджере Телеграм.

Секретные чаты

Секретные чаты
Секретные чаты

Итак, если пользователь желает отправить крайне конфиденциальную информацию другому пользователю, то ему следует воспользоваться секретным чатом Телеграм. Трафик передаваемый в секретном чате шифруется от устройства к устройству.

Сообщение никто не сможет перехватить и расшифровать, даже разработчики. Этот способ считается самым безопасным в Телеграм.

При этом в секретном чате есть возможность установить таймер автоматического уничтожения сообщения с диапазоном. Также в секретном чате отсутствует возможность переслать сообщение третьему лицу — опция пересылки здесь отключена. А если пользователь попытается сделать скриншот переписки, то собеседник получит об этом уведомление.

Уведомления о сделанном скриншоте секретного чата
Уведомления о сделанном скриншоте секретного чата

Но учтите, что вы не застрахованы в тех случаях, когда злоумышленник может сфотографировать экран устройства, на котором отображена переписка.

☝️
О том, как создать секретный чат, можно прочитать в нашем блоге.  

Облачный пароль

Каждый раз входя в Телеграм с нового устройства, приложение будет требовать от пользователя ввод одноразового кода подтверждения, который приходит на телефон пользователя в виде SMS-сообщения или уведомления в Телеграм.

Но если злоумышленник имеет возможность перехватить SMS-сообщения пользователя, то данный способ защиты не особо поможет. Поэтому рекомендуется использовать двухэтапную аутентификацию, в обиходе называемую облачным паролем. Это значительно повысит безопасность в Телеграм.

Облачный пароль Телеграм
Облачный пароль Телеграм

Установив облачный пароль, вход в Телеграм с нового устройства станет более безопасным, так как кроме одноразового кода подтверждения придется ввести единый дополнительный пароль, который известен только владельцу аккаунта Телеграм. Также если третьи лица попытаются изменить данный пароль, на адрес электронной почты пользователя придет уведомление о смене пароля, тем самым сообщая о подозрительных действиях с его аккаунтом.

О том, как правильно настроить облачный пароль, можно прочитать в данной стать: Облачный пароль Телеграм: как настроить, установить и пользоваться

Код-пароль

Разработчики также позаботились о том, чтобы усложнить доступ злоумышленников к перепискам пользователя, если устройство попало к ним в руки. Установив код-пароль, доступ к чатам будет заблокирован. Код-пароль может быть установлен в виде ПИН-кода или обычного пароля. Но его легко сбросить, переустановив приложение на устройстве.

Поэтому настоятельно рекомендуется использовать опцию облачного пароля, который помешает злоумышленнику войти в аккаунт пользователя Телеграм.

Код-пароль очень удобен для защиты переписок от любопытных глаз коллег или домочадцев. Так что наличие кода-пароля не будет лишней мерой безопасности в Телеграм. 

Чтобы установить код-пароль нужно совершить шаги следующей последовательности:

  • Войти в боковое меню Телеграм и открыть раздел "Настройки";
  • Перейти в раздел "Конфиденциальность" и пролистать до подраздела "Безопасность";
Меню настроек конфиденциальности в Телеграм
Меню настроек конфиденциальности в Телеграм
  • Нажать на опцию "Код-пароль", то есть сдвинуть ползунок вправо;
  • Откроется диалоговое окно с просьбой ввести пароль;
Активация кода-пароля и диалоговое окно
Активация кода-пароля и диалоговое окно
  • Вверху будет опция с выбором вида пароля: ПИН-код или обычный пароль, выбрав один из них, нужно ввести символы (в случае с ПИН-кодом - это четыре цифровых символа, в случае с обычным паролем - любые символы, в том числе буквы, цифры и знаки препинания);
Выбор пин-кода или пароля
Выбор пин-кода или пароля
  • После установки пароля, в шапке над списком чатов появится иконка в виде замка;
  • При следующей разблокировке телефона и попытки войти в Телеграм, приложение запросит ввести код-пароль.
Ввод пароля для разблокировки чатов
Ввод пароля для разблокировки чатов

Настройка код-пароля на гаджетах с ОС iOS и Android идентична. Для настольной версии Телеграм данный алгоритм настройки также подойдет.

Настройка видимости номера телефона

Известно, что аккаунт Телеграм пользователя прикреплен к его номеру телефона. Поэтому пользователя легко можно найти в Телеграме, зная его номер. Но разработчики позаботились и тут: они ввели возможность регулировать настройки видимости номера телефона таким образом, что пользователь сам выбирает, кому показывать номер телефона, а кому - нет.

Для настройки данной опции пользователю нужно зайти в Настройки/Конфиденциальность/Номер телефона и там поставить нужные ограничения. В данных настройках можно как запретить всем видеть номер телефона, так и сделать исключения для определенных пользователей.

Меню сокрытия номера телефона в Телеграм
Меню сокрытия номера телефона в Телеграм
☝️
Более подробная статья: Как скрыть номер в Телеграм

Отображение последней активности

Также одним из принципов безопасности в Телеграм является сокрытие информации об активности пользователя в мессенджере. Любой пользователь может увидеть, когда последний раз другой пользователь входил в Телеграм. Поэтому разработчики добавили опцию "Последняя активность", в которой пользователь может настроить отображение данной информации.

В случае сокрытия активности от всех, информация о последнем входе пользователя будет отображаться приблизительно. Например, значение "недавно" может означать период от 1 минуты до 1 дня, а значение "был давно" — от 1 недели и дольше. Данную опцию можно настроить, проделав следующие шаги: Настройки/Конфиденциальность/Последняя активность.

Меню опции "Последняя активность" в Телеграм
Меню опции "Последняя активность" в Телеграм

Также о других полезных функциях мессенджера можно прочитать в статье о фишках Телеграм.

Попытки взлома Телеграм

Попытки нарушить безопасность в Телеграм
Попытки нарушить безопасность в Телеграм

Взлом Телеграм является одним из популярных трендов последних лет. В сети можно встретить статьи о том, как где-то кого-то взломали, перехватили управление группами и каналами, но подтверждения из официальных авторитетных источников о таких случаях нет. Да и обычно "уводят" телеграм каналы и группы из-за беспечности владельцев, которые пренебрегают элементарными правилами безопасности Телеграм.

Многие жертвы таких случаев не пользовались двухэтапной аутентификацией.

Иногда можно натолкнуться на критику Телеграм от авторитетных изданий, которые специализируются на информационной безопасности. Критика в основном касается того, что компания Телеграм не полностью раскрывает исходный код мессенджера. Также критикуют тот факт, что разработчики Телеграм для шифрования используют модификации стандартных протоколов, что может привести к непредсказуемым последствиям.

Тем не менее Павел Дуров уверен в безопасности Телеграм. Он пару раз анонсировал конкурс на взлом Телеграм. В качестве награды один раз предлагал 200 000 долларов в биткоинах, а в другой раз — 300 000 долларов. Но никому не удалось получить вознаграждение, так как победителей не было выявлено.

Чуть ниже мы рассмотрим несколько известных попыток взлома Телеграм.

Отключение СМС-сервиса

Отключение смс-доставки с Телеграм
Отключение смс-доставки с Телеграм

Павел Дуров заявлял, что было пару случаев, когда российские спецслужбы пытались получить доступ к Телеграм-аккаунтам некоторых оппозиционеров и журналистов. Первый случай произошел в 2016 году с активистом Олегом Козловским и сотрудником Фонда борьбы с коррупцией Георгием Албуровым.

Они жаловались на то, что их аккаунта в мессенджере Телеграм были взломаны, а прием SMS-сообщений был отключен. Олег Козловский сам разобрался в этой ситуации и пришел к такому заключению, что компания МТС целенаправленно отключила ему сервис доставки сообщений. Когда злоумышленники вошли в его аккаунт с другого устройства, он не получил SMS-уведомление с кодом авторизации.

Пост в Facebook от Олега Козловского
Пост в Facebook от Олега Козловского

В его аккаунт Телеграм он получил уведомление о том, что в аккаунт получен доступ с определенного устройства (в уведомлении указывается IP-адрес и устройство), но он это уведомление увидел только утром. Примечательно что в аккаунт Георгия Албурова через несколько минут вход был произведен с того же IP-адреса. Спустя несколько часов МТС опять включил сервис доставки SMS. Козловский обратился в техподдержку МТС с просьбой узнать, почему ему был отключен сервис доставки, но в ответ получил отказ и рекомендацию сделать письменный запрос.

В итоге Козловский предположил, что злоумышленники могли получить доступ к коду из SMS либо через систему CОРМ, либо через отдел техбезопасности компании МТС. Позже Дуров в переписке с редактором радиостанции "Эхо Москвы" прокомментировал этот случай, предположив, что спецслужбы оказывают давление на операторов сотовой связи. И порекомендовал использовать двухэтапную аутентификацию, о которой мы писали выше.

Второй известный случай произошел в 2019 году. О попытке взлома заявили несколько журналистов, которые освещали протесты в Екатеринбурге по поводу строительства храма. К счастью, их аккаунты не были взломаны, так как у них была настроена двухэтапная аутентификация. Но уведомления о попытке входа с другого устройства они получили. Дуров также прокомментировал данную ситуацию в своем официальном телеграм-канале. Он написал, что власти безуспешно попытались взломать аккаунты в Телеграм журналистов и акцентировал внимание на то, что власти авторитарных стран посягают на конфиденциальность и безопасность граждан.

Фишинг

Фишинг
Фишинг

Одним из способов получить несанкционированный контроль над аккаунтом пользователя Телеграм является фишинг. В случае с фишингом пользователь получает уведомление в мессенджер Телеграм от аккаунта маскирующегося под аккаунт официальной поддержки Телеграм.

В данном уведомление сообщается информация о том, что якобы обнаружена подозрительная активность в аккаунте пользователя и он должен немедленно подтвердить свои действия, в противном случае его аккаунт будет заблокирован.

Для подтверждения в уведомлении злоумышленники включают ссылку на фейковую страницу, визуально полностью копирующую официальный сайт Телеграм. Наподобие, telegram-antispam.org. На фейковом сайте пользователь должен будет указать номер мобильного телефона, прикрепленного к аккаунту Телеграм, код подтверждения и облачный пароль, если он у него включен. Если пользователь забыл пароль, то мошенники просят владельца аккаунта пройти стандартный процесс восстановления пароля. Как только обманутый пользователь вводит всю вышеперечисленную информацию, злоумышленники получают полный контроль над аккаунтом Телеграм.

Они привязывают украденный аккаунт к другому номеру телефона и получают полный доступ к чатам, группа и каналам пользователя. Особенно в группе риска находятся те пользователи, который ведут собственные телеграм-каналы. Они обычно являются лакомым кусочком для злоумышленников, так как те в свою очередь могут монетизировать украденные канала или использовать в более гнусных целях.

Уведомление о том, что пользователь был взломан
Уведомление о том, что пользователь был взломан

Чтобы не стать жертвой фишинга, редакция t9gram рекомендует пользователям придерживаться нескольких правил:

  1. Всегда использовать двухэтапную аутентификацию;
  2. Быть бдительным при получении сообщений от аккаунтов, которых нет в списке контактов (у официальных аккаунтов Телеграм есть подтверждающие значки в виде шестеренок или галочек);
  3. Если пользователь все-таки перешел по ссылке на фейковый сайт, то он должен убедиться, что соединение защищено, а в адресной строке сайта указан правильный адрес telegram.org.  
Галочка - значок официального аккаунта Телеграм
Галочка - значок официального аккаунта Телеграм

Рекомендуем статью: 

Фишинг - или техника компьютерных преступлений

Шпионские программы на устройстве

Доступ к аккаунту Телеграм злоумышленники также могут получить с помощью установки шпионским программ на устройстве пользователя. Например, как FinSpy и Skygofree. К сожалению, здесь двухэтапная аутентификация не поможет защитить свои данные. Поэтому пользователь должен быть бдительным в том, какое он программное обеспечение или приложение устанавливает на свой смартфон или ПК и убедиться в том, что на его устройствах установлены хорошие антивирусные программы, тогда ваш Телеграм будет в безопасности.

Телеграм и отношения с правительствами некоторых стран

В начале статьи мы упоминали, что руководство Телеграм ценит право пользователей на конфиденциальность переписки и считает, что правительство и спецслужбы не должны вмешиваться в частную жизнь граждан. Тем не менее компания Телеграм в 2018 году заявила, что меняет политику конфиденциальности мессенджера и готова предоставлять информацию о пользователях спецслужбам. Но только на законных основаниях, то есть при наличии судебного ордера, который подтверждает, что определенный пользователь подозревается в терроризме, руководство компании готово спецслужбам предоставить номер мобильного телефона и IP-адрес пользователя. Но переписка так и останется конфиденциальной.

При этом в Телеграме открыли специальный канал, в котором будет публиковаться информация о сотрудничестве со спецслужбами. На сегодняшний день о таких случаях сотрудничества информации нет, упомянутый канал пустует.

Блокировка в Иране

В Исламской Республике Иран мессенджер Телеграм заблокировали по причине того, что в одной из групп администратор призывал пользователей участвовать в протестах против правительства, используя коктейли Молотова. Это произошло в конце 2017 года. Правительство Ирана через Твиттер обратилось к Павлу Дурову с просьбой забанить группу с протестующими, Дуров выполнил просьбу и подметил, что критика в публичных каналах и группах Телеграм допустима, но призывы к насилию — нет. Но администраторы забаненной группы создали новую группу и написали Дурову, что они уволили агрессивного администратора, который призывал к насилию. Дурова такой ответ удовлетворил и группа избежала очередного бана, но правительство Ирана осталось недовольным.

Павел Дуров
Павел Дуров

Существование оппозиционной группы стала формальным поводом для блокировки Телеграм на территории страны. Частично Телеграм на территории Ирана был блокирован с конца 2017 года, а полностью — с апреля 2018 года.

Конфликт с Роскомнадзором

Телеграм против Роскомнадзора
Телеграм против Роскомнадзора

Также Телеграм не миновал конфликт и с правительством РФ, а точнее с Роскомнадзором. Вследствие принятия законопроекта Яровой, все телекоммуникационные компании были обязаны плотно сотрудничать со спецслужбами, то есть по первому же запросу спецслужб предоставлять информацию о "подозрительных" пользователях.

И в этой ситуации Дуров опять не изменил своим принципам. Камнем преткновения стало нежелание Дурова предоставить Роскомнадзору ключи шифрования, которые бы дали доступ к перепискам пользователя. При этом Дуров грамотно объяснял, что в случае использования сквозного шифрования это технически невозможно, но Роскомнадзор настаивал на своем. В итоге это вылилось в судебные тяжбы и привело к "кривой" блокировке Телеграм на территории РФ. Как это начиналось, можно прочитать в данной статье.

Блокировка Телеграм Роскомнадзором
Блокировка Телеграм Роскомнадзором

К счастью, на сегодняшний день конфликт с Роскомнадзором исчерпан и беспрепятственный доступ к мессенджеру Телеграм на территории РФ потихоньку восстанавливается.

Деанонимизация протестующих в Гонконге

Деанонимизация в Телеграм
Деанонимизация в Телеграм

В Китайской Народной Республике Телеграм тоже блокируют. И делается это по причине того, что с помощью мессенджера оппозиция координирует свои атаки против коммунистического правительства страны. То, что Телеграм пал в немилость к китайскому правительству, неудивительно. В Китае власти требуют от всех телекоммуникационных компаний устанавливать свои сервера на территории страны и давать спецслужбам доступ к перепискам пользователям. И как обычно, Дуров на это не согласился.

Принципы либертарианства превыше всего. Кстати, ознакомиться с биографией Павла Дурова можно ознакомиться в данной статье. Тем не менее Телеграм заблокирован в Китае частично, например, в Гонконге и Макао мессенджер функционирует нормально. 

Но в 2019 году случилось неприятное событие. В Гонконге летом начались протесты против правительства в связи с законом об экстрадиции. Протестующие координировали свои действия через групповые чаты в Телеграм. В какое-то время спецслужбы начали идентифицировать личности протестующих и подозрение пало на Телеграм — якобы команда мессенджера выдала информацию о них спецслужбам. На самом деле это не так, безопасность в Телеграм не изменилась.

Выше было упомянуто, что пользователь сам может настроить уровень конфиденциальности в Телеграм. В случае с сокрытием номера телефона, пользователь может скрыть свой номер телефона от всех. НО есть один нюанс.

Даже если пользователь выбрал опцию скрыть телефон от всех, то люди, у которых номер телефона пользователя занесен в список контактов, все равно будут видеть его номер в Телеграме. Именно с помощью этой лазейки спецслужбы вычисляли личности протестующих.

Меню опции "Конфиденциальность номера" в Телеграм
Меню опции "Конфиденциальность номера" в Телеграм

Злоумышленник (в данном случае, хакер, которого наняли власти Китая) вносит в свой список контактов десятки тысяч телефонных номеров. Далее он заходит в Телеграм, синхронизирует контакты и вступает в целевые группы, где протестующие координируют свои движения. После чего злоумышленник открывает в Телеграме список контактов, нажимает на контакт пользователя и видит, какие у него с ним есть общие группы, то есть он видит, состоит ли Юн Ли в той же протестной группе, что и злоумышленник. Таким образом и происходила деанонимизация в Телеграм. 

Защититься от такого способа деанонимизации можно только в том случае, если пользователь оформил свою SIM-карту на подставное лицо. Возможно, разработчикам Телеграм следовало бы в будущем придумать способ защиты от деанонимизации и убрать данную лазейку. На сегодняшний момент это самая серьезная уязвимость в безопасности Телеграм.

В целом мессенджер Телеграм оснащен высоким уровнем безопасности и дает пользователю право выбора решать самостоятельно, насколько сильно он хочет быть защищен. И тем не менее сколько бы разработчики не снабжали мессенджер дополнительными фишками безопасности, пользователь должен помнить, что уровень безопасности зависит в первую очередь от его собственной бдительности. 

Как скрыть номер в Телеграм

Николай Дуров: биография, брат Павла Дурова

Как добавить контакт в Телеграм по номеру телефона или по нику