Тот факт, что информация о смене статусов пользователей Telegram доступна в виде простого текста, позволяет злоумышленнику легко узнавать, кто с кем общается и когда, всего лишь располагая телефонными номерами этих людей. По мнению исследователя, разработчики Telegram достаточно самонадеянно провозгласили его безопасным мессенджером. Уязвимость в системе безопасности Telegram позволяет удаленно узнавать, с кем и когда общается пользователь мессенджера, сообщает исследователь Ола Флисбек (Ola Flisback). Он обнаружил, что Telegram отправляет уведомления всем пользователям, в контактах которых есть владелец мобильного устройства, каждый раз, когда другой пользователь открывает приложение и сворачивает его. Эти уведомления относятся к так называемым метаданным — служебной информации. Используя интерфейс командной строки для Telegram (например, telegram-cli), эту информацию легко прочитать, потому что она представлена в незашифрованном текстовом виде. Это позволяет злоумышленнику узнавать — между кем и в какое время происходит обмен сообщениями, если у него на смартфоне в Telegram есть оба контакта одного чата. Наиболее простая и самая популярная ситуация — наличие у «шпиона» в Telegram двух друзей, которые обмениваются сообщениями. В этом случае, как описано выше, этот человек сможет узнавать, когда два его друга начинают и заканчивают общение. Однако стоит напомнить, что добавить пользователя Telegram достаточно просто — нужно всего лишь внести в контакты на смартфоне его телефонный номер, и он тут же появится в Telegram. Как только это произойдет, приложение на телефоне жертвы будет отправлять уведомления и этому абоненту в том числе. И необязательно этот новый абонент должен быть в контактах на устройстве жертвы. Ранее основатель Telegram Павел Дуров заявил, что ежемесячно мессенджером Telegram пользуются 62 млн человек, которые вместе отправляют 2 млрд сообщений в сутки. По мнению Флисбека, такая популярность обусловлена тем, что разработчики Telegram уверяют пользователей в полной защите их конфиденциальности. В действительности же, указывает исследователь, она далеко не идеальна. Мессенджер Павла Дурова привлекает исследователей не в первый раз. В феврале 2015 г. специалист по информационной безопасности Зук Аврахам (Zuk Avraham) из компании Zimperium рассказал, что сообщения, пересылаемые между пользователями мессенджера, легко прочесть, не обладая ключом шифрования. Дело в том, что Telegram хранит текст сообщений в ОЗУ в виде обычного текста. Поэтому, если злоумышленнику удастся взломать устройство пользователя, для него не составит труда получить доступ и к переписке.
Источник