Перейти к содержанию

Насколько безопасно пользоваться Telegram? | Блог Касперского


Рекомендуемые сообщения

Создатели Telegram позиционируют свой мессенджер как безопасный и защищенный. Но на практике это не совсем так: дело в том, что у «Телеги» есть ряд особенностей, из-за которых защитить свою переписку в реальной жизни оказывается не слишком легко, — и связаны они вовсе не со сложностями криптографии, а с гораздо более прозаическими вещами. Давайте поговорим про несколько весьма неоднозначных решений в интерфейсе и общей логике работы Telegram, делающих его совсем не таким безопасным, как принято считать.

Оттенки безопасности переписки

Для начала разберемся, как работает защищенный (или безопасный) мессенджер. Первое, что стоит понимать: практически все существующие системы обмена сообщениями уже давно используют шифрование данных при их передаче с устройства пользователя на сервер. Это тот минимум, который должен обеспечивать любой современный мессенджер. Однако этого недостаточно, чтобы считать систему обмена сообщениями защищенной, поскольку это не гарантирует полной безопасности переписки.

И вот почему: если доступ к сообщениям, помимо участников беседы, есть и у сервиса, то это создает дополнительные риски. Например, сами владельцы сервиса могут оказаться излишне любопытными или жадными. Или допустим даже, что нынешние владельцы кристально честны и не суют нос в данные пользователей, — кто гарантирует, что это не сделают следующие, к которым мессенджер перейдет после продажи? В конце концов, сервис может кто-то взломать — и в этом случае доступ к переписке может получить взломщик.

Есть очень эффективный способ избежать всех этих опасностей и сразу закрыть вопрос о том, можно ли сервису доверять, — для этого используют сквозное шифрование. Оно предполагает, что информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. Таким образом, сам сервис пересылает туда-сюда только зашифрованные данные и доступа к содержанию сообщений не имеет. Это автоматически обеспечивает защиту переписки от любопытства нынешних и будущих владельцев сервиса и от всех неприятностей, которые с ним могут произойти.

Итак, мы приходим к очень простой формуле: защищенный мессенджер — это такой мессенджер, который использует сквозное шифрование. Теперь самое время перейти к тому, как с этим обстоят дела у Telegram.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Created
  • Последний ответ

Top Posters In This Topic

  • Umnik

    13

  • Mrak

    9

  • sputnikk

    6

  • ska79

    4

Почти никто не делает e2ee. Это просто очень дорого в сопровождении и накладывает тонну ограничений. Честный e2ee есть лишь в горстке мессенджеров и всё. Тот же Zoom тоже не поддерживает его. Они _заявили что будут поддерживать_ (это раз) и только для корпоративных за отдельные деньги (это два).

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

мне кажется разработчики телеграм ни когда на это не пойдут, т.к. большей части пользователей это не понравится из-за того, что при внедрении e2ee исчезнет возможность синхронизации между устройствами, а многие используют телеграм на смартфоне, и не одном, плюс еще и ПК

Ссылка на комментарий
Поделиться на другие сайты

18 hours ago, Mrak said:

Какова вероятность внедрения в телеграмм сквозного шифрования по умолчанию во всех чатах?

Во всех прям? Нулевая. В только 1 на 1 - могут и сделать. Правда в других клиентах придётся авторизовываться через QR или похожим методом, как сейчас делают остальные. В таком случае общение идёт через один клиент, а все остальные на самом деле пишут ему. То есть у тебя чат создан с телефона. Ты заходишь с компа и комп на самом деле пишет телефону, а телефон прозрачно передаёт от имени компа.

 

В групповых чатах это будет невозможно в принципе. У тебя в чате 15 человек, их них онлайн - 5. Заходит новый человек и рассылает всем свой ключ. Все присылают свои ему. Теперь он может общаться, но только с теми, кто был онлайн. Другие то не прислали ему ключи и не получили его. Начнётся свистопляска с передачей ключей. Это реализуемо (там, где я работаю - именно e2ee на абсолютно всё и другого варианта чатов не существует), но требует целенаправленной работы. То есть если инвесторы решат, что эта фича будет хороша для маркетинга - сделают. Решат, что не нужна и достаточно только того, что есть сейчас - рекламный слоган защиты и отсутствие защиты по умолчанию на самом деле - не будут делать.

 

Только если с сообщениями ещё туда-сюда, то со звонками капец. Нам пришлось приложить много усилий для групповых звонков, потому что эти звонки. Ведь нельзя гнать видео просто на сервер, а сервер уже формирует картинку (так делает zoom и вообще абсолютно все, у кого есть групповые видеозвонки без e2ee) - ведь трафик зашифрован. Сервер ничего не понимает. В итоге, на самом деле, все участники шлют всем другим участникам свои видеопотоки (15 человек - значит 1 человек шлёт на 14 одновременно) и получают от всех (1 человек получает 14 видеопотоков). Это прям очень тяжело для мобилок. У нас такое есть, но мы искусственно ухудшаем качество видео и ограничиваем сверху количество возможных участников видеозвонка. ТГ так не сделает массово, ведь у них рекламная фишка - чаты на сотни человек. По этой же причине так не делает zoom. По этой же причине многие мессенджеры, которые умеют в e2ee, просто не поддерживают групповые видео вообще или поддерживают с большими ограничениями.

 

7 hours ago, sputnikk said:

в ICQ упомято шифрование звонков https://icq.com/security-calls/ru

Для 1 на 1. Здесь всё просто. Когда речь про групповые, то туши свет. Только лучшие на такое способны :) // да, я назвал нас лучшими, потому что слежу за конкурентами и конкурентов у нас пока нет

  • Like (+1) 1
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, sputnikk said:

у кого у вас?

Не скажу. Во-первых мне нельзя особо распространяться о месте работы. Во-вторых мы делаем продукты под конкретный сегмент. В общем, они не публичные, обычным пользователям не доступны, к моему сожалению.

Изменено пользователем Umnik
Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...
22.02.2023 в 16:28, sputnikk сказал:

Способ решения проблемы умиляет - потерять все чаты, переписки:

Цитата

Они посоветовали лишь включать двухфакторную авторизацию и при смене номера телефона не менять его в настройках WhatsApp, а удалять учетную запись и регистрировать новую.

Как я понимаю, при удалении учетки, нужно, чтобы человека вновь в каждый чат добавили, но переписка все равно не сохранится. 

Ссылка на комментарий
Поделиться на другие сайты

ВотсАпп не позволяет читать переписку всем и каждому, потому что, в отличие от Телеграма, не хранит её на своих серверах. Ей просто неоткуда взяться. ВотсАпп имеет проблему, которая может помочь злоумышленнику ввести собеседников жертвы в заблуждение - это да. Такая проблема есть у всех, кто регается по симке. Аналогично и с банками, и с кучей 2FA. Люди очень часто используют SMS как второй фактор и это тоже огромная ошибка. Визг из ничего.

 

1. Нужно включать второй фактор в мессенджерах. В Сигнале чуть хитрее - нужно включить блокировку регистрации. Но суть не меняет, это тоже второй фактор

2. Нельзя никогда использовать телефонный номер как второй фактор ни в одном сервисе

  • Like (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Недавно мы в «Лаборатории Касперского» провели исследование и узнали, что в среднем в мире человек тратит в год $938 на 12 подписок. Это лишь очередное подтверждение того, что сегодня большое количество подписок — такой же атрибут жизни современного человека, как наличие смартфона под рукой.
      Подписки есть на все: на музыку, кино, фитнес, защитные решения и даже на мессенджеры. Вот о последних сегодня и поговорим, тем более что вы наверняка не раз слышали про Telegram Premium — подписку, увеличивающую все лимиты мессенджера практически в два раза. И самое крутое — ее можно дарить любому другу. При большой книге контактов приложение Telegram практически каждый день напоминает о такой возможности. Конечно же, подарочными подписками Telegram Premium манипулируют мошенники, рассылая их направо и налево.
      Что это за подарочные подписки от киберпреступников и как защитить свой аккаунт в Telegram — в этом материале.
      Как «дарят» подписку в Telegram
      Начинается все с невинного сообщения в Telegram от человека из вашего списка контактов (ну или того, кто им притворяется): «Вам отправили подарок — подписка Телеграм Премиум». Аккурат под ним — ссылка, которая на первый взгляд кажется легитимной. Она и в самом деле ведет на официальный канал Telegram Premium, но есть нюанс.
      Согласитесь, получить такое сообщение всегда приятно, и в приступе эйфории легко не заметить подвох
      Под текстом https://t.me/premium скрывается ссылка на совсем другую — фишинговую страницу. Работает это очень просто. Вот, казалось бы, ссылка на главную страницу блога Kaspersky Daily — https://kaspersky.ru/blog, которая на самом деле ведет на главную страницу другого нашего блога — Securelist. По такому же принципу действуют и мошенники: прикрывают свою фишинговую ссылку другим адресом.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы уже рассказывали, что большинство приложений для фитнеса и трекинга при занятиях спортом (например, бегом) при настройках по умолчанию практически никак не защищают ваши персональные данные. Маршруты и время тренировок, фотографии с пробежек, данные о вашей физической форме в большинстве случаев выкладываются в открытый доступ в Интернет, если вы явно это не запретите. А результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Чтобы избежать этого, необходимо настроить как сами смартфоны, так и беговые приложения. По ссылкам вы найдете инструкции по настройке наиболее популярных трекеров бега: Strava, Nike Run Club, MapMyRun, adidas Running.
      Завершая обзор настроек приватности беговых приложений, сегодня мы расскажем, как правильно настроить ASICS Runkeeper (версии для Android и iOS).
      Как и другие крупные производители спортивной обуви и амуниции Nike и adidas, японская компания ASICS, хорошо известная своей беговой обувью, не стала изобретать велосипед, а просто приобрела популярное приложение для трекинга бега Runkeeper и даже не переименовала его, добавив лишь собственное имя — ASICS Runkeeper.
      Настройки приватности в ASICS Runkeeper, как, впрочем, и в других беговых приложениях, находятся в не вполне очевидном месте. Если на основном экране щелкнуть на шестеренку в левом верхнем углу, то там вы их не найдете — это настройки тренировки. Вместо этого нажмите на кнопку Я в левом нижнем углу, далее нажмите на шестеренку в правом верхнем углу и на открывшейся странице выберите Настройки приватности.
      Где найти настройки приватности в приложении ASICS Runkeeper: Я → Настройки → Настройки приватности
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Ранее мы рассказывали, почему перед началом использования беговых трекеров обязательно нужно настроить конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении, — для минимизации утечки ваших персональных данных, включая геопозицию, в открытый доступ. Вы же не хотите, чтобы любой желающий мог подписаться на информацию о ваших пробежках и точно знать, где и когда вас можно найти офлайн?
      Вы можете изучить уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений Strava и Nike Run Club, а сегодня мы поговорим о настройках приватности в MapMyRun.
      У приложения MapMyRun (версии для Android и iOS) очень любопытная история. В сентябре 2024 года оно было приобретено в составе пакета приложений MapMyFitness медиакомпанией Outside под руководством генерального директора Робина Терстона у американского производителя спортивной обуви и одежды Under Armour. A Under Armour, в свою очередь, приобрела этот пакет аппов за $150 млн в 2013 году у некоего… Робина Терстона, основавшего MapMyFitness в 2007 году! Таким образом, через 11 лет Робин вернул себе компанию, основанную им 17 лет назад.
      Настраиваем приватность в MapMyRun
      Найти в этом приложении настройки приватности, нажав на кнопку с шестеренкой в правом верхнем углу основного экрана, как обычно, не получится — это снова настройки тренировки. Вместо этого надо нажать на кнопку с тремя точками в правом нижнем углу (для iOS) или на «бургер-меню» из трех линий в верхнем левом углу (для Android), далее выбрать пункт Настройки (не Центр конфиденциальности — это другое) и уже на открывшейся странице выбрать Конфиденциальность.
      Где найти настройки приватности в приложении MapMyRun: ••• → Настройки → Конфиденциальность
       
      View the full article
×
×
  • Создать...