Как взломать Телеграм или липовое «бинго»

Telegram_logo.svg

Павел Дуров в своём блоге опубликовал ответ нашумевшему «взломщику» Телеграма, расставив всё точки над i. Мы перевели и адаптировали этот пост для вас.


Мы в Телеграме обожаем улучшать свою безопасность. Наш открытый код и постоянно проводимые конкурсы по взлому, делают Telegram лучше, помогая взаимодействовать с пользователями. По этой причине мы вознаграждаем людей, которые предлагают нам идеи по улучшению безопасности Телеграма.

В прошлом месяце мы заплатили 5000 долларов человеку, который обнаружил потенциальную уязвимость в российском Телеграме под Aндроид, в этом месяце перевели 2500 долларов компании HackApp за указанные слабые места в iOS коде. Пока, наиболее ценный вклад мы получили в декабре 2013 от x7mz, который указал на проблему в протоколе шифрования MTProto, — за это он получил награду в 100 000$. Каждый раз, когда находится уязвимость, мы первые это публично признаем и исправляем.

К сожалению, наша открытость привлекает и тех, кто на этом паразитирует. В то время, как популярность российского мессенджера Telegram растет, некоторые пытаются пропиарить себя или свою компанию, нападая на Телеграм по ложным поводам.

Будь у меня root-доступ…

В прошлом месяце мы получили письмо, в котором говорилось: «если бы у взломщика был root-доступ к android-телефону, переписка в российском Телеграме была бы незащищенной».

Едва ли это заслуживало нашего ответа.

Если взломщик каким-то образом получил рут-доступ к вашему девайсу, то нет смысла обсуждать какую-либо безопасность – взломщик уже стал БОГом вашего телефона и видит все, что видите вы, и даже больше.

Когда человек заявляет, что нашел уязвимость, связанную с получением рут-доступа, это как если бы он сказал, что Всемогущий Бог может теоретически (в дополнение к созданию и разрушению целых миров в мгновение ока) взломать замок конкретного швейцарского банка. И все – этот замок теперь ненадежен.

Для эксперта по безопасности «взлом» после получения рута может прозвучать как дурацкая шутка, но нашего «героя» это не остановило. Мало того, он оказался основателем/владельцем/генеральным директором/генеральным техническим директором компании под названием Zimperium и незамедлительно опубликовал запись в блоге с заголовком-приманкой «Как я взломал Телеграм».

Как я «взломал» российский Telegram

В записи говорилось, что если хакер с рут-доступом может пролезть в память и скрытые файлы устройства, сообщения в Телеграме не должны храниться в незашифрованном виде в памяти телефона – и их нужно шифровать. Очевидный парадокс данного «решения» состоит в том, что ключ к шифру также будет храниться на девайсе (иначе невозможно выводить сообщения на экран).

Поэтому, даже если это «предложение» может показаться разумным для неспециалиста, оно никоим образом не защитит пользователя от хакеров, у которых уже есть доступ к памяти и скрытым файлам девайса. «Совет» сводился к тому, чтобы зашифровать что-то только ради шифрования и создать иллюзию безопасности в ситуации, когда утерян рут-доступ, хотя на самом деле, это приведет к поглощению большего количества ресурсов процессора и заряда аккумулятора.

В блоге также рекламировались приложения производства Zimperium для Андроид (авторы которого живут в мире, где 98,4% девайсов Андроид могут взломать школьники).

Опущен ниже плинтуса

Разумеется, уважающие себя издания проигнорировали данный завуалированный маркетинговый ход – немного исследовав вопрос и проверив факты, крупные издания, вроде Forbes, как следует посмеялись. Реакцию интернет сообщества на выходку директора Zimperium суммировала в своем высказывании Ева Галперин, технолог и аналитик EFF(Фонда Электронных Рубежей):

«Если вы скажете, что сможете взломать шифрование, скомпрометировав конечную точку, то ничего вы не взламываете. Это, как если бы я пробралась к вам в дом, имея при себе ключ и закричала: Попался! Я пробралась к тебе в дом!».

Флиппо Валсорда из CloudFlare Security Team попытался объяснить ситуацию людям далёким от шифрования и безопасности:

«Для всех, кто не понял: не было никакого «взлома» Телеграма. Это пыль в глаза. Мне, может, и не нравится Телеграм, но он не был взломан».

Подписчики HackerNews выразили редкое единодушие:

«Это, к сожалению, только голословная завлекуха. Для проведения таких атак требуется рут-доступ к устройству» (eugeneionesco).

«Шифрование методом endtoend ничего не решает, когда злоумышленник контролирует тот самый «end». Я бы сказал, что парнишка излишне назойливо пытается пропихнуть свой бренд “Zimperim Mobile Security.

«Это никакая не уязвимость. Когда ты полностью контролируешь устройство, получая\отправляя зашифрованные сообщения, то да, ты их можешь прочесть. Тут буквально не существует способа защиты от этого»(IshKebab)

«Разве получение рута это не game over? Автор предлагает дополнительное шифрование, а на самом деле это лишь дополнительное время для поиска ключа»(treeform)

 

Bullshit bingo (Липовая победа)

Но даже если не удается сыграть на косяках в системе безопасности, всегда можно воспользоваться доверчивостью медиа и страхами общества. В то время, как эксперты по безопасности и крупные издания раскритиковали сообщение о  «взломе», мелкие издания и блоггеры на это купились. Вот некоторые из самых интригующих заголовков:

«Шифрование Телеграм полностью взломано».

В Telegram молчат на обнародованный факт (Softpedia)

«Шифрование Телеграма разбито, теперь – не лучше, чем SSL».

Шифрование Телеграма по принципу endtoend подверглось сомнению, когда исследователь получил доступ к сообщениям.(SC Magazine)

«Кроссплафторменный  Telegram позволяет обойти своё шифрование и получить доступ к сообщениям»

Телеграм безопасный? Уже нет! (TechWorm)

На мелких сайтах, которые не занимаются проверкой фактов, появлялось намного больше подобных сообщений. Несмотря на нашу готовность отвечать по электронной почте или в Твиттере, а также комментировать вышеназванный случай, лишь немногие из этих легковерных потрудились получить более широкую картину случившегося. Zimperium позаботился скрыть комментарии под своим первоначальным постом в блоге (хотя там есть поля для комментариев, создающие иллюзию возможности ответа), поэтому для неискушенного читателя та статья выглядит действительно пугающей. В результате, пост в блоге Zimperium получил 5 тысяч лайков и свыше 3 тысяч ретвитов.

Выводы

В мире, где компании в сфере интернет безопасности меняют фокус с исследований на маркетинг, нам следует быть осмотрительней: СМИ нужно чаще проверять факты, стартапам, вроде Телеграма, нужно больше активного пиара, а публике следует осторожнее относиться к мотивам тех, кто пишет о подобных «взломах». Иначе мы постоянно будем заложниками тех, кто использует наши страхи.

Поделиться:
1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 4,00 out of 5)
Loading...Loading...

Комментариев: 1

  • 1Янв 19, 2016 в 2:08

    телеграм фигня, т.к нет пароля, авторизация через смс, а если сим угонят…

    Ответить
Оставить комментарий