Залишені без захисту і прихований API для викрадення даних: хакери діляться своїм баченням Telegram
Міжнародна група хакерів, що діє під назвою "The Hacker's Choice", заявляє, що їхня діяльність спрямована на забезпечення інформаційної безпеки та вони не виконують замовлень. Всі їхні дії подаються як служіння суспільним інтересам. У недавньому дописі в їхньому блозі вони згадали месенджер Telegram у зв'язку з арештом його засновника та керівника, Павла Дурова.
Засновника Telegram затримали у Франції 24 серпня, висунувши йому звинувачення у сприянні численним злочинам, які відбувалися через його месенджер. Ця подія привернула увагу світових ЗМІ та звичайних користувачів. Хакери також відреагували: одні виступили на захист керівника компанії, атакуючи французькі вебсайти, інші ж підтримали правоохоронців.
The Hacker's Choice стали одними з перших, хто виступив проти Дурова та його платформи.
Павла взяли під варту не через його критику на адресу Макрона. Його затримали за підозрою у сприянні низці злочинів, таких як торгівля наркотиками та участь у групах, що займаються вимаганням викупу. Крім того, його слід було затримати за дезінформацію суспільства та за зв'язки з Кремлем.
Кожен, хто свідомо обманює громадян щодо питань безпеки, повинен бути ув'язнений.
- йдеться в заяві хакерського об'єднання.
Перед тим як обґрунтувати свої погляди стосовно месенджера, активісти висувають три аргументи, чому Telegram, на їхню думку, потребує ретельного вивчення з боку правоохоронних органів:
Прихований API викрадає ваші дані, а зникаючі повідомлення насправді залишаються.
Згідно з матеріалом від The Hacker's Choice, їхня недовіра до Telegram має підстави. У 2022 році вони дослідили API Telegram (набір інструментів, який надає розробникам можливість взаємодіяти з програмним забезпеченням, отримувати доступ до його функцій, інформації та процесів) і виявили там приховані функції. Ці незадокументовані можливості дозволяють третім особам завантажувати будь-який груповий чат, навіть не будучи його учасником. Це стосується навіть приватних чатів, захищених налаштуваннями конфіденційності.
Крім того, хакери стверджують, що "зникаючі повідомлення та автоматичне видалення в Telegram - це маркетинговий фарс" Під час аналізу вони видалили "роки й роки повідомлень", але потім знайшли все це "гарно оформленим у форматі HTML" - всі імена користувачів, метадані, медіа, голосові записи та інше.
Telegram створив чудовий API для витягування даних, оснащений усіма можливими функціями. Проте, хоча в ньому є добре організований бекдор, документація на цей інструмент відсутня. Для кого це зроблено? Мені здається, що це викликає підозру.
- повідомляють у блозі The Hacker's Choice.
Симуляція санкційДослідники також згадують події кількарічної давності,
Коли російські державні структури намагалися заблокувати Telegram, наслідки цієї акції "Роскомнадзора" виявилися катастрофічними для російського інтернету. Значна частина онлайн-ресурсів, включаючи офіційні урядові сайти, перестала функціонувати на декілька годин. Проте Telegram залишився доступним, незважаючи на оголошені заборони, блокування, уповільнення та інші застосовані заходи.
Росія заборонила використання Signal та оголосила Meta, що розробляє WhatsApp, екстремістською організацією. У відповідь на це, росіяни почали масово переходити на Telegram — додаток для обміну повідомленнями, який не має повного шифрування і використовує недокументований API, що може дозволяти витоки даних до урядових структур. "Замисліться над цим самі", - закликають активісти, наголошуючи, що всі повідомлення про заборону Telegram є неправдивими.
"Згідно з подальшими повідомленнями в статті, користувачі в Росії безперешкодно користувалися TG. Жодних заборон чи обмежень не було."
"Конфлікт" Дурова з владою Росії Павло Дуров залишив Росію після втрати контролю над своїм першим значним проєктом, соціальною мережею "ВКонтакте". Його фактично примусили продати цей проєкт, або ж це було інсценуванням, якщо вірити теорії, що все це було частиною великого спектаклю, організованого ФСБ.
Зовсім скоро після цього Дуров оголосив про намір створити нову соціальну платформу, яка буде орієнтована виключно на смартфони і не матиме веб-версії, подібно до звичайних соцмереж. Як результат, ми отримали месенджер, який спочатку не нагадував соціальну мережу, а став поступово набувати характерних для соцмереж функцій лише в останні кілька років.
Павло заявляє, що залишив Росію через конфлікт з російською владою. Вірогідно, згодом ми дізнаємося, що його від'їзд був спрямований на здобуття кращої переговорної позиції з ФСБ: перебуваючи за кордоном, його складніше контролювати і він менш уразливий до "віконних самогубств".
- передбачають The Hacker's Choice
Де знаходяться технічні документи інженерів їхньої компанії? Чому ми не бачимо їх у відкритому доступі, як це відбувається з Моксі Марлінспайком, Мередіт Віттакер та Філом Циммерманом? Чому спеціалісти TG відсутні на кожній зустрічі IETF, де обговорюється надійне шифрування та конфіденційність? Чому TG не демонструє прозорість у питанні свого шифрування? Чому вони не дозволяють рецензування або хоча б частково не відкривають інформацію для громадського контролю? Такі логічні запитання ставлять хакери, але відповідей на них поки що ніхто не має.
Потім хакери також зазначають, що Дуров підтримав, за їхніми словами, явно "наклепницьку" кампанію, спрямовану проти конкурента – застосунка Signal, стверджуючи, що цей сервіс має тісні зв'язки з урядовими структурами.
Цілковита нісенітниця. Ми з дитинства знаємо людей, які працюють у Signal. Вони заслужили нашу довіру — вони безупинно боролися, щоб зробити шифрування доступним для всіх, і активно діяли в багатьох інших сферах, щоб допомогти людям звільнитися від контролю авторитарних режимів. Росія забороняє Signal, тому що його [повідомлення] неможливо перехопити. Натомість просувають Telegram, – додали активісти.
Варто відзначити, що у червні 2020 року російський диктатор Путін відзначав Telegram як приклад "конструктивної співпраці", у той час як опозиційні блогери "зникали як мухи", йдеться у звіті. 20 серпня 2024 року Павло Дуров вирушив до Азербайджану, що згодом викликало припущення у мережі про його можливу зустріч із Путіним, який прибув туди ж 18 серпня. Чи відбулася така зустріч насправді, залишається невідомим, але обидві сторони це заперечили. Варто зауважити, що 20 серпня Путін уже перебував у Чечні.
Фінансування
Ми досі не маємо точного уявлення про деталі фінансування Telegram. Павло Дуров завжди запевняв, що фінансує проект власними коштами, і навіть озвучував різні суми, які, за його словами, витрачає на підтримку серверів.
Монетизація сервісу стартувала лише в останні два роки, коли було введено Premium-підписку, платні функції та запущено рекламну платформу з доволі високими цінами. Це свідчить про те, що протягом попередніх 10 років Дуров, ймовірно, фінансував компанію зі своїх власних ресурсів.
Якою мірою ймовірно, що підприємець продовжуватиме вести справи з фінансовими втратами, залишається питанням для особистої інтерпретації кожного читача.
Що вимагають від Telegram Нарешті, хакерська група The Hacker's Choice висуває перелік дій, які Telegram має вжити, якщо прагне залишатися "додатком для безпечного обміну повідомленнями" і продовжувати позиціонувати себе як сервіс, що "протистоїть репресивним урядам":