Захист відсутній, а API використовується для крадіжки даних: хакери розкривають свою версію Telegram

Міжнародна група хакерів під назвою "The Hacker's Choice" заявляє, що спеціалізується на інформаційній безпеці і не працює на замовлення. Вся їхня діяльність подається як присвячена суспільному благу. У новому записі в їхньому блозі активісти розповіли про месенджер Telegram у зв'язку із затриманням його засновника та керівника, Павла Дурова.

Засновника Telegram затримали у Франції 24 серпня, звинувативши у сприянні різноманітним злочинним діям, яким він надав можливість розвиватися через свій месенджер. Це затримання привернуло увагу як світових медіа, так і звичайних користувачів. Хакери також відреагували: деякі виступили на підтримку керівника компанії, здійснюючи атаки на французькі вебсайти, тоді як інші підтримали дії правоохоронців.

The Hacker's Choice були серед тих, хто висловився проти Дурова та його платформи.

Павла заарештували не за його критику Макрона. Його затримали за підозрою у сприянні численним злочинам, зокрема торгівлі наркотиками та участі у діяльності злочинних угруповань, що займаються вимаганням викупу. Крім того, його мали б затримати за введення суспільства в оману та зв'язки з Кремлем. Кожен, хто свідомо дезінформує громадян щодо питань безпеки, повинен бути під вартою.

- повідомляє хакерська група.

Перед тим, як пояснити свою позицію щодо месенджера, активісти надають три причини, чому Telegram, на їхню думку, заслуговує на прискіпливий аналіз з боку правоохоронців:

Автори статті The Hacker's Choice кажуть, що не довіряють Telegram не без причини. У 2022 році вони вивчали API Telegram (набір інструментів, який дозволяє розробникам взаємодіяти з програмним забезпеченням, отримувати доступ до його процесів, інформації та функцій) і виявили в ньому незадокументовані (тобто приховані) функції, які дозволяють третій стороні завантажити будь-який груповий чат, без необхідності в ньому перебувати. Це працює навіть із приватними чатами, закритими від сторонніх очей налаштуваннями.

Ба більше, хакери заявляють, що функції "зникаючих повідомлень та автоматичного видалення в Telegram" є лише маркетинговим трюком. Після проведення аналізу вони видалили "роки повідомлень", але згодом виявили їх "акуратно збереженими у форматі HTML" - включаючи всі імена користувачів, метадані, медіафайли, голосові записи та інше.

Telegram розробив шикарний API для вилучення даних. З усіма наворотами. Гарно організований чорний хід. А потім не задокументував його. ДЛЯ КОГО? Як на мене, пахне підозріло,

- пишуть у блозі The Hacker's Choice.

Дослідники також згадують випадки кількарічної давності, коли російські державні органи намагалися обмежити доступ до Telegram. Під час цієї операції "Роскомнадзору" сталася масштабна неполадка в російському інтернеті, що вплинула навіть на державні вебресурси. Тим не менше, Telegram продовжував функціонувати, незважаючи на оголошення про його заборону, блокування, уповільнення та інші заходи.

Росія заборонила використання Signal і оголосила Meta, розробника WhatsApp, екстремістською організацією. У відповідь багато росіян почали використовувати Telegram - незашифрований месенджер з непрозорим API, який теоретично може дозволяти уряду отримувати дані користувачів. Активісти закликають до обережності, стверджуючи, що всі заяви про заборону Telegram є неправдивими.

У статті зазначається, що всі користувачі в Росії безперешкодно користувалися TG. Ні заборон, ні обмежень не було.

Павло Дуров покинув Росію після того, як втратив контроль над своїм першим великим проєктом, соцмережею "ВКонтактє". Його фактично змусили її продати або ж удали, що змусили, якщо вірити теорії про те, що все це було одним великим спектаклем ФСБ. Дуже швидко Дуров заявив, що створить нову соцмережу, але яка повністю покладатиметься на смартфони й не матиме вебверсії, як традиційні соцмережі. У результаті ми отримали месенджер, який довгий час не був схожий на соцмережу, а почав "обростати" їхніми типовими функціями лише в останні кілька років.

Павло заявляє, що залишив Росію через конфлікт з російською владою. Імовірно, з часом стане зрозуміло, що він виїхав, аби покращити свої переговорні позиції з ФСБ: перебуваючи за кордоном, Павло стає менш контрольованим і менш уразливим до "випадкових випадків з вікнами".

- припускають The Hacker's Choice

"Де технічні документи їхніх інженерів? Чому не бачимо їх у відкритому доступі, як ми бачимо Моксі Марлінспайка, Мередіт Віттакер, Філа Циммермана? Чому інженери TG відсутні на кожній зустрічі IETF, де формується надійне шифрування і конфіденційність? Чому TG не відкрита щодо свого шифрування? Чому вони не дозволяють рецензування? Або хоча б частково відкрити його для громадського контролю?" - ставлять логічні питання хакери. Але відповіді на них поки що ніхто не має.

Далі хакери також згадують, що Дуров підтримав очевидно "наклепницьку" кампанію, спрямовану проти конкурентного застосунка Signal, стверджуючи, що сервіс перебуває "у ліжку з урядом".

"Повна дурня. Ми з дитинства знаємо людей, які працюють у Signal. Вони заслужили нашу довіру -- вони невпинно боролися, щоб зробити шифрування доступним для широких мас, і невпинно боролися в багатьох інших сферах, щоб допомогти людям вирватися з-під контролю авторитарних режимів. Росія забороняє Signal, тому що його [повідомлення] неможливо перехопити. Замість нього просувають Telegram, - додали активісти.

Цікаво відзначити, що в червні 2020 року російський лідер Путін висловлював схвальні відгуки про Telegram, називаючи його прикладом "конструктивної співпраці", тоді як опозиційні блогери поступово зникали, як мухи, згідно з деякими звітами. 20 серпня 2024 року Павло Дуров вирушив до Азербайджану, а в інтернеті поширилися чутки, що мільярдер поїхав туди в надії зустрітися з Путіним, який приїхав туди 18 серпня. Невідомо, чи відбулася така зустріч, але обидві сторони заперечили це. 20 серпня Путін вже перебував у Чечні.

Ми досі не маємо чіткого уявлення про деталі фінансової підтримки Telegram. Дуров постійно заявляв, що фінансує проєкт власним коштом і навіть надавав різні цифри, які, за його словами, витрачає на утримання серверів.

Перша монетизація сервісу почалася лише в останні два роки, коли він запровадив Premium-підписку, платні функції та запустив рекламну платформу з дуже кусючими цінами. Це означає, що цілих 10 років Дуров нібито утримував компанію за власний кошт.

Наскільки реалістично, щоб бізнесмен працював стільки часу собі в збиток - питання залишиться відкритим і на власний розсуд кожного читача.

Зрештою, команда хакерів The Hacker's Choice пропонує набір заходів, які компанія повинна розглянути, якщо прагне утвердитися як "додаток для безпечного обміну повідомленнями" і продовжувати позиціонувати себе як сервіс, що "протистоїть репресивним режимам":