Спецслужбы Гонконга, где сейчас проходят многотысячные акции протестов, обнаружили в социальной сети Telegram лазейку, благодаря которой власти разных стран могут вычислять контакты тех, что активно участвует в митингах и состоит в тематических группах в мессенджерах.
Незащищённый мессенджер
Мессенджер может предоставлять третьим лицам некоторую информацию без ведома пользователей, к примеру, личные номера телефонов. Такую прореху в системе безопасности нашли разработчики программного обеспечения из Гонконга.
По мнению специалистов, найденная брешь может быть использована спецслужбами и официальными властями для сбора информации об участниках протестов и митингов. За счёт этого могут быть вычислены все, кто координирует свои действия посредством данного мессенджера.
Как работает система
Оказывается, можно действовать даже в обход всех настроек приватности в Телеграмм. Можно узнать все данные пользователя даже в том случае, если они скрыты настройками приватности. Обнаружить, состоит ли определённый человек в тех или иных тематических группах отнюдь не сложно. Для этого пользователю достаточно записать в книгу контактов несколько тысяч номеров и подключиться к нужным группам в Telegram.
После этого достаточно только синхронизировать собственные контакты с клиентом Telegram. Почти сразу после этого мессенджер покажет, кто именно из владельцев внесённых в телефонную книгу номеров состоит в тематических группах.
Стоит учитывать, что Телеграмм таким способом может выдать информацию об участниках протестов в разных странах мира.
Для Гонконга такое открытие сейчас имеет огромное значение, так как по всему Китаю с начала июня 2019 года проходят многолюдные протестные акции. Причиной митингов стал законопроект о рассмотрении ряда запросов об экстрадиции людей, подозреваемых в уголовных делах, с Гонконга, которые подаются властями Китая, Макао и Тайваня.
Данный документ был принят правительством к рассмотрению, что и привело к недовольству народа. Протестующими было устроено шествие, построены баррикады и перекрыто движение по всем крупным автомагистралям. Это стало наиболее крупной демонстрацией за последние 20 лет.
Реакция разработчиков мессенджера
Разработчики Telegram быстро отреагировали на новость от китайских программистов об обнаружении такой бреши в системе безопасности. Специалисты ZDNet связались с программистами, чтобы выяснить, какие действия будет предпринимать руководство мессенджера и в какие сроки проблема будет устранена. При этом программисты заверили журналистов, что в обновлённой версии мессенджера уже есть алгоритм, который препятствуют такому грубому взлому.
В тоже время как теоретически, так и практически, возможен поиск номеров телефонов участников различных групп в мессенджере. Это разработчики даже показали всем желающим визуально. Но выполнение запроса было прервано приблизительно через пару секунд, он начала запуска. За это время импортировалось всего 85 контактов. Тот аккаунт, с которого выполнялась синхронизация, получил временное ограничение на добавление новых контактов, не больше 5 штук в сутки.
Можно сделать вывод, что защита от кражи номеров в Телеграмм всё-таки есть, но её вполне можно обойти количеством. Узнать номера пользователей вполне реально, если использовать большое число ботов или аккаунтов.
Популярный мессенджер
Информация о серьёзных проблемах с мессенджером, связанных с конфиденциальностью данных пользователей, за пару часов была распространена во всех известных социальных сетях Гонконга. Разработчики, которые нашли такую брешь рассказали, что систему поиска можно автоматизировать, чтобы не вносить большое количество контактов в телефонную книгу в ручном режиме.
По словам специалистов, власти Гонконга уже осведомлены о такой возможности и пользуются ею для выявления протестующих некоторое время. Чтобы решить проблему и дальше использовать мессенджер в качестве координирующего устройства, участникам акций протестов рекомендуется использовать разовые сим-карты, а также телефонные номера, которые были оформлены на подставных лиц или поддельные документы.
Отказаться от Телеграмм в пользу иных мессенджеров участники протестов не торопятся. Это, прежде всего, связано с хорошо проработанными алгоритмами работы с крупными группами людей, а также тем, что другие группы по умолчанию показывают номера телефонов участников. К примеру, в популярном мессенджере Signal вообще невозможно скрыть свой номер телефона.
Хакерские атаки большого масштаба
Во второй раз за это лето мессенджер оказывается в центре общественного внимания из-за событий в Гонконге. Так, в начале июня, всего через 2 дня от начала митингов, Телеграмм перестал работать по всему миру. Это произошло из-за массированных хакерских атак, которые доходили до 400 Гбит/с. Павел Дуров заявил, что атаки могут быть связаны именно с такими протестами.
В Российской Федерации Telegram был заблокирован по решению суда ещё весной 2018 года. Запрет на использование мессенджера связан с тем, что руководство сервиса отказалось предоставлять ключи для расшифровки переписки пользователей. Павел Дуров заявил, что он не будет выполнять законы, которые не соответствуют политике конфиденциальности мессенджера. После блокировки Телеграмм несколько дней были сбои в Яндексе, Mail.ru Group и ряде иных крупных компаний. Однако по состоянию на конец августа 2019 года Telegram продолжает работать в России.
