Перейти к содержанию

Насколько безопасно пользоваться Telegram? | Блог Касперского


Рекомендуемые сообщения

Создатели Telegram позиционируют свой мессенджер как безопасный и защищенный. Но на практике это не совсем так: дело в том, что у «Телеги» есть ряд особенностей, из-за которых защитить свою переписку в реальной жизни оказывается не слишком легко, — и связаны они вовсе не со сложностями криптографии, а с гораздо более прозаическими вещами. Давайте поговорим про несколько весьма неоднозначных решений в интерфейсе и общей логике работы Telegram, делающих его совсем не таким безопасным, как принято считать.

Оттенки безопасности переписки

Для начала разберемся, как работает защищенный (или безопасный) мессенджер. Первое, что стоит понимать: практически все существующие системы обмена сообщениями уже давно используют шифрование данных при их передаче с устройства пользователя на сервер. Это тот минимум, который должен обеспечивать любой современный мессенджер. Однако этого недостаточно, чтобы считать систему обмена сообщениями защищенной, поскольку это не гарантирует полной безопасности переписки.

И вот почему: если доступ к сообщениям, помимо участников беседы, есть и у сервиса, то это создает дополнительные риски. Например, сами владельцы сервиса могут оказаться излишне любопытными или жадными. Или допустим даже, что нынешние владельцы кристально честны и не суют нос в данные пользователей, — кто гарантирует, что это не сделают следующие, к которым мессенджер перейдет после продажи? В конце концов, сервис может кто-то взломать — и в этом случае доступ к переписке может получить взломщик.

Есть очень эффективный способ избежать всех этих опасностей и сразу закрыть вопрос о том, можно ли сервису доверять, — для этого используют сквозное шифрование. Оно предполагает, что информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. Таким образом, сам сервис пересылает туда-сюда только зашифрованные данные и доступа к содержанию сообщений не имеет. Это автоматически обеспечивает защиту переписки от любопытства нынешних и будущих владельцев сервиса и от всех неприятностей, которые с ним могут произойти.

Итак, мы приходим к очень простой формуле: защищенный мессенджер — это такой мессенджер, который использует сквозное шифрование. Теперь самое время перейти к тому, как с этим обстоят дела у Telegram.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

  • Umnik

    13

  • Mrak

    9

  • sputnikk

    6

  • ska79

    4

Почти никто не делает e2ee. Это просто очень дорого в сопровождении и накладывает тонну ограничений. Честный e2ee есть лишь в горстке мессенджеров и всё. Тот же Zoom тоже не поддерживает его. Они _заявили что будут поддерживать_ (это раз) и только для корпоративных за отдельные деньги (это два).

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

мне кажется разработчики телеграм ни когда на это не пойдут, т.к. большей части пользователей это не понравится из-за того, что при внедрении e2ee исчезнет возможность синхронизации между устройствами, а многие используют телеграм на смартфоне, и не одном, плюс еще и ПК

Ссылка на комментарий
Поделиться на другие сайты

18 hours ago, Mrak said:

Какова вероятность внедрения в телеграмм сквозного шифрования по умолчанию во всех чатах?

Во всех прям? Нулевая. В только 1 на 1 - могут и сделать. Правда в других клиентах придётся авторизовываться через QR или похожим методом, как сейчас делают остальные. В таком случае общение идёт через один клиент, а все остальные на самом деле пишут ему. То есть у тебя чат создан с телефона. Ты заходишь с компа и комп на самом деле пишет телефону, а телефон прозрачно передаёт от имени компа.

 

В групповых чатах это будет невозможно в принципе. У тебя в чате 15 человек, их них онлайн - 5. Заходит новый человек и рассылает всем свой ключ. Все присылают свои ему. Теперь он может общаться, но только с теми, кто был онлайн. Другие то не прислали ему ключи и не получили его. Начнётся свистопляска с передачей ключей. Это реализуемо (там, где я работаю - именно e2ee на абсолютно всё и другого варианта чатов не существует), но требует целенаправленной работы. То есть если инвесторы решат, что эта фича будет хороша для маркетинга - сделают. Решат, что не нужна и достаточно только того, что есть сейчас - рекламный слоган защиты и отсутствие защиты по умолчанию на самом деле - не будут делать.

 

Только если с сообщениями ещё туда-сюда, то со звонками капец. Нам пришлось приложить много усилий для групповых звонков, потому что эти звонки. Ведь нельзя гнать видео просто на сервер, а сервер уже формирует картинку (так делает zoom и вообще абсолютно все, у кого есть групповые видеозвонки без e2ee) - ведь трафик зашифрован. Сервер ничего не понимает. В итоге, на самом деле, все участники шлют всем другим участникам свои видеопотоки (15 человек - значит 1 человек шлёт на 14 одновременно) и получают от всех (1 человек получает 14 видеопотоков). Это прям очень тяжело для мобилок. У нас такое есть, но мы искусственно ухудшаем качество видео и ограничиваем сверху количество возможных участников видеозвонка. ТГ так не сделает массово, ведь у них рекламная фишка - чаты на сотни человек. По этой же причине так не делает zoom. По этой же причине многие мессенджеры, которые умеют в e2ee, просто не поддерживают групповые видео вообще или поддерживают с большими ограничениями.

 

7 hours ago, sputnikk said:

в ICQ упомято шифрование звонков https://icq.com/security-calls/ru

Для 1 на 1. Здесь всё просто. Когда речь про групповые, то туши свет. Только лучшие на такое способны :) // да, я назвал нас лучшими, потому что слежу за конкурентами и конкурентов у нас пока нет

  • Like (+1) 1
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, sputnikk said:

у кого у вас?

Не скажу. Во-первых мне нельзя особо распространяться о месте работы. Во-вторых мы делаем продукты под конкретный сегмент. В общем, они не публичные, обычным пользователям не доступны, к моему сожалению.

Изменено пользователем Umnik
Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...
22.02.2023 в 16:28, sputnikk сказал:

Способ решения проблемы умиляет - потерять все чаты, переписки:

Цитата

Они посоветовали лишь включать двухфакторную авторизацию и при смене номера телефона не менять его в настройках WhatsApp, а удалять учетную запись и регистрировать новую.

Как я понимаю, при удалении учетки, нужно, чтобы человека вновь в каждый чат добавили, но переписка все равно не сохранится. 

Ссылка на комментарий
Поделиться на другие сайты

ВотсАпп не позволяет читать переписку всем и каждому, потому что, в отличие от Телеграма, не хранит её на своих серверах. Ей просто неоткуда взяться. ВотсАпп имеет проблему, которая может помочь злоумышленнику ввести собеседников жертвы в заблуждение - это да. Такая проблема есть у всех, кто регается по симке. Аналогично и с банками, и с кучей 2FA. Люди очень часто используют SMS как второй фактор и это тоже огромная ошибка. Визг из ничего.

 

1. Нужно включать второй фактор в мессенджерах. В Сигнале чуть хитрее - нужно включить блокировку регистрации. Но суть не меняет, это тоже второй фактор

2. Нельзя никогда использовать телефонный номер как второй фактор ни в одном сервисе

  • Like (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Помните времена, когда интернет-обман ассоциировался с нелепым спамом от «нигерийских принцев», которые обещали золотые горы? Эта эпоха безвозвратно ушла, сегодня в моде фишинг в мессенджерах. Благодаря своей популярности, открытости API и поддержке криптоплатежей, Telegram стал одной из основных платформ для злоумышленников. Какие новые уловки используют мошенники в мессенджере и как вовремя их распознать, чтобы не стать очередной жертвой?
      Telegram-боты на службе злоумышленников
      Существует огромное количество схем с использованием ботов в Telegram. Например, иногда одни злоумышленники предлагают другим злоумышленникам использовать свои боты для создания новых. Если ничего не поняли — не пугайтесь, мы подробно рассказывали как работает phishing-as-a-service («фишинг как услуга») в блоге Securelist.
      Кибернегодяи используют Telegram-боты вместо веб-сайтов. Так гораздо проще заманить потенциальную жертву, нежели создавать полноценный фишинговый сайт, поддерживать его существование и пытаться убедить человека кликнуть по ссылке, чтобы он попался на крючок. С ботами все понятнее — пользователю не нужно покидать пространство Telegram, которое по умолчанию ошибочно считается безопасной средой.
      Как это выглядит на практике? К примеру, злоумышленники придумали новое мошенничество с инвестициями в криптовалюту: «Раздаем новый токен всем подряд, нужно только зайти в бот и пройти KYC-верификацию». Конечно, KYC-верификация в понимании мошенников — это не фото паспорта и не обязательный видеозвонок, чтобы подтвердить свою личность, а необходимость пополнить депозит в реальной криптовалюте. Конечно, эта реальная криптовалюта навсегда уходит на счет злоумышленников, а пользователь получает… Ничего! О похожей схеме мы, кстати, подробно писали в материале Угон аккаунтов и криптокошельков в Telegram, читайте.
      Бот в Telegram предлагает пройти фейковую KYC-верификацию
       
      View the full article
    • sputnikk
      Автор sputnikk
      Wi-Fi запароленный, пацанов в семье нет, только девочки-школьницы. Подсоединил комп через свисток D-linк 2013 года утилитой Mediatek Wireless Utility.
       
      Я не был в интернете 5 дней. Украинцы пожгли железо местного провайдера и сети не будет ещё неделю, пришлось клянчить вай-фай у соседей, у них другой провайдер.  
      Железо Juniper, один коммутатор сейчас стоит 150к. Украинцам помогали индийцы через Австралию.
      Мобильного у меня нету.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • KL FC Bot
      Автор KL FC Bot
      Умные спортивные часы продолжают привлекать пристальное внимание злоумышленников, позволяя получить множество интересной информации о потенциальной жертве. Мы уже писали о том, как трекинговые приложения собирают данные своих владельцев и делятся ими — большинство из них по умолчанию отображают логи ваших тренировок, включая точную геопозицию, всем желающим.
      Спортивные часы, как выяснилось, продолжают тенденцию расслабленного подхода к защите персональных данных своих владельцев. Так, в конце июня 2025 года появилась информация о серьезных уязвимостях во всех часах COROS, дающих доступ не только к самим часам, но и к аккаунту пользователя. Воспользовавшись этими уязвимостями, злоумышленники могут получить полный доступ к данным в аккаунте жертвы, перехватывать конфиденциальную информацию (например, уведомления), менять настройки устройства или сбрасывать их до заводских и даже прерывать запись трека тренировки с потерей всех данных.
      Что особенно неприятно — COROS была уведомлена об этих проблемах еще в марте 2025 года, но исправления планируются только к концу года.
      Похожие уязвимости в 2022 году были обнаружены (но вскоре закрыты) и у, пожалуй, самого популярного производителя спортивных часов и других спортивных гаджетов — Garmin.
      На фоне подобных угроз хочется по максимуму защитить свою приватность, правильно настроив безопасность в спортивных приложениях. Сегодня мы разберем, как защитить свои данные в Garmin Connect и Connect IQ Store — двух сервисах одной из наиболее популярных экосистем спортивных гаджетов.
       
      View the full article
    • Mrak
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • KL FC Bot
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article

×
×
  • Создать...