- PVSM.RU - https://www.pvsm.ru -
После ознакомление с постом [1] и другим постом. [2]
Захотелось узнать о Телеграме побольше.
Машинально вбивая хэштег Телеграма в Twitter [3], наткнулся на блог одной ИБ компании…
Несколько дней назад Павел Дуров объявил кампанию [4] по исправлению багов, для протокола расшифровки Телеграмма. Дальше будет показано, как личные данные из секретного чата могут быть захвачены без каких-либо методов расшифрования из-за «отказа дизайна».
Android 4.3 in Virtual Box
Wireshark запущенный на локальной машине.
HTC One with Android 4.0.3
Telegram 1.3.800 (in virtual box)
Для начала давайте установим Telegram, а пользователей, к примеру, назовем Алиса и Боб. После этого, создаем аккаунты в Telegram и добавляем друг друга в друзья:
Теперь создаем секретный чат:
Отправляем тестовое сообщение:
Как мы можем видеть в Wireshark, все данные проходят через SSL и выглядят зашифрованными.
Но что, если мы постараемся отправить какое-нибудь вложение? К примеру, геолокацию?
Ага! Открыта незашифрованная TCP-сессия. Давайте взглянем поближе:
По умолчанию для загрузки фрагмента карты, Telegram использует Google-Maps API в незашифрованном виде.
С точки зрения безопасности и анонимности это полный провал…
Человек, который контролирует канал, может перехватывать все геолокационные вложения, обходя секретный чат с двух сторон.
На практике, если Сноуден отправит кому-нибудь, кто находится под прослушкой АНБ [5], свое географическое положение через Телеграм… томагавка будет достаточно, чтобы удовлетворить Генерала Александра. [6]
СБ относительно быстро отреагировала на этот инцидент [7] и попросила отписаться им на почту за вознаграждением.
Если я не ошибаюсь, то фикс выглядит так. [8]
Любопытно, сколько же заплатят авторам за найденный баг.
Автор: me3k
Источник [9]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/51611
Ссылки в тексте:
[1] постом: http://habrahabr.ru/post/207038/
[2] другим постом.: http://habrahabr.ru/post/206900/
[3] Twitter: https://twitter.com/search?q=%23Telegram&src=typd
[4] кампанию: http://habrahabr.ru/post/206476/
[5] прослушкой АНБ: http://habrahabr.ru/post/204998/
[6] Генерала Александра.: http://en.wikipedia.org/wiki/Keith_B._Alexander
[7] инцидент: http://blog.hackapp.com/2013/12/telegram-secret-chat-geolocation-leak.html?showComment=1387922480431#c288173189296157941
[8] так.: https://github.com/DrKLO/Telegram/commit/4f9384afee0cf8e3e6c981f3242534f8d3e932e8
[9] Источник: http://habrahabr.ru/post/207380/
Нажмите здесь для печати.