Специалист по информационной безопасности Зук Аврахам (Zuk Avraham) из калифорнийского стартапа Zimperium рассказал в своем блоге, что сообщения, пересылаемые между пользователями мессенджера Павла Дурова Telegram легко прочесть, не обладая ключом шифрования. Telegram хранит текст сообщений в оперативной памяти в виде обычного текста. Поэтому, если злоумышленнику удастся взломать устройство пользователя Telegram, для него не составит труда получить доступ к переписке. В своем эксперименте эксперт создал секретный чат (Secret Chat) в Telegram и написал в нем слова-маркеры. Затем он воспользовался уязвимостью CVE-2014-3153 для взлома ярда операционной системы Android на устройстве, участвующем в эксперименте. Взлом позволил увидеть содержимое оперативной памяти и найти в ней написанные в чате слова-маркеры (Woof, Text, Shlookido, Cookiedo, Tambalul и NotSoEncryptedInMemory) в нешифрованном виде. Затем специалист обратился к файлам приложения, находящимся в постоянной памяти. Он обнаружил эти слова в таком же нешифрованном виде в файле базы данных Cache4.db. Наконец, Аврахам провел еще один тест — он нажал на кнопку удаления беседы и проверил, были ли стерты указанные фразы из файла базы данных. Они оказались удалены, однако в оперативной памяти сохранились, говорит эксперт. Он подчеркнул, что взлом устройства может быть выполнен удаленно, без физического доступа к нему. Secret Chat — функция в Telegram. При ее активации приложение обеспечивает «сквозное шифрование, поэтому только вы и ваш собеседник сможете читать сообщения и никто другой, даже мы в Telegram», согласно описанию функции на официальном сайте мессенджера. «Она предназначена для тех, кто желает более высокого уровня защиты, чем большинство других», — объясняют в компании. Аврахам говорит, что ждать от такой функции, что она будет шифровать данные в оперативной памяти или хотя бы на накопителе устройства — не слишком много для мессенджера, авторы которого уделяют столько внимания приватности. Тем не менее, даже эти ожидания не оправдались, пишет он. «Мои выводы просты. Telegram был основан создателями с целью предложить пользователям полностью бесплатный инструмент для надежной защищенной переписки. На деле переписка оказалась вовсе не защищенной. Да, разработчики сконцентрировались на шифровании в пути, но они забыли про шифрование в конечных точках. Так рекламируемое мощное шифрование в Telegram на самом деле защищает пользователей не больше, чем протокол шифрования SSL в любом другом мессенджере», — заключил эксперт. В Telegram отреагировали на открытие Аврахама. «Если хакер имеет доступ к системе с правами суперпользователя (root-access) — ни одно приложение вас не защитит. Например, для вывода любого изображения на экран нужно, чтобы вы сперва поместили эту информацию в память. Хакер с правами суперпользователя может легко увидеть, что записано в памяти вашего устройства», — ответил Маркус Ра (Markus Ra), представитель Telegram.
Подробности