Мессенджер от госкомпании «Крымтехнологии» взломали за три минуты

После сегодняшней блокировки Telegram ^[1] многие пользователи задаются вопросом, что делать дальше. Установки VPN и прокси-серверов в России выросли в десятки раз ^[2]. Продавщицы в магазинах помогают покупателям настроить «прокси в телеге» ^[3]. По мнению аналитиков ^[2], более 50% пользователей Telegram в России поставят VPN или прокси-сервисы и продолжат пользоваться мессенджером.

Но отдельные чиновники не намерены мириться с тем, что российские граждане обходят установленные запреты. Представители Роскомнадзора заявили ^[4], что Telegram представляет угрозу интересам РФ и жизням граждан. Руководитель этой организации Александр Жаров пообещал принять меры ^[5] в отношении различных инструментов для обхода блокировки мессенджера. Советник президента по интернету Герман Клименко сам прекратил пользоваться Telegram и рекомендовал переходить на российский ICQ ^[6].

В то же время один за другим появляются новые IM-сервисы, которые позиционируют себя как замену Telegram. Они намерены побороться за многомиллионную аудиторию заблокированного мессенджера.

Например, холдинг Mail.Ru Group разместил ^[7] в газетах «Ведомости», «Коммерсантъ» и «Деловой Петербург» рекламу «мессенджера с каналами» под названием «ТамТам».

Есть и другие попытки «импортозамещения». Например, собственную разработку представило государственное унитарное предприятие «Крымтехнологии» ^[8], которое называет себя «ведущим в Крыму разработчиком программного обеспечения, систем автоматизации предприятий бизнес сектора, государственных предприятий, систем электронного правительства субъектов Российской Федерации».

14 апреля компания «Крымтехнологии» начала открытое тестирование мессенджера «Диалог М» ^[9], который позиционируется как замена заблокированному Telegram. Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram. Один из разработчиков Игорь Мартыненко сказал, что «Диалог М» представлен в качестве «возможной альтернативой подобным приложениям иностранных компаний» и отметили: «В плане конференции он будет даже получше, чем Telegram».

«На тестирование представлен базовый функционал, позволяющий осуществлять обмен личными сообщениями и сообщениями в рабочих группах, а также отправлять файлы. Пока это только бета-версия. После решения Роскомнадзора заблокировать Telegram мы решили заранее выпустить в тестовую эксплуатацию свой мессенджер, чтобы получить обратную связь от пользователей. И чтобы показать им альтернативу и возможную замену популярных приложений российским продуктом, — сказал Мартыненко. — В ближайшем будущем он точно ничем не будет уступать существующим мессенджерам. Его никогда не забанят. В плане конференции он будет даже получше, чем Telegram, где не очень удобно сделано добавление, выход, делегирование прав в конференции. Мы планируем добавить и такой функционал, как органайзер – для организаций и отдельных пользователей. Предположим, жена пишет мужу список продуктов, которые необходимо купить. Из этого сообщения он может создать себе задачу в органайзере с напоминанием».

Первым делом вышли браузерная версия ^[10] мессенджера и приложение для Android (dialogm.apk ^[11]).

К сожалению, браузерная версия крымского мессенджера оказалась далеко не так защищена, как предполагали разработчики. Пользователь TJ по имени Артём Леготин убедился, что любой аккаунт можно угнать за 3-4 минуты. На сайте TJ он опубликовал пошаговую инструкцию ^[12], каким образом происходит угон аккаунта. Суть в том, что при авторизации в мессенджере нужно ввести четырёхзначный код, пришедший на указанный номер. Этот код проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx, где можно быстро проверить все 10 000 возможных вариантов кода — и получить токен авторизации.

Аналогичную процедуру можно повторить с номером любого зарегистрированного пользователя.

Артём Леготин выразил надежду, что разработчики крымского мессенджера исправятся и более внимательно отнесутся к безопасности. Он подчеркнул, что для тестирования взломал аккаунт редактора TJ с его согласия, а взламывать чужие аккаунты незаконно.

Автор: Анатолий Ализар

Источник ^[13]