Откровенность API Telegram

Open!
Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).

Так как API доступно всем желающим, то, помимо официальных версий на яблоки и роботов, существует ряд сторонних клиентов. В данном случае я исследовал полуофициальный webogram — веб версия телеграма основанная на JavaScript. Почему полуофициальный? Потому, что несмотря на неофициальный статус, пишет его экс-сотрудник ВК Игорь Жуков, которому позже я и написал об уязвимости, благо и к telegram он отношение имеет.

Итак, когда мы открываем беседу, перед нами предстаёт url вот такого вида:


Что первым делом приходит в голову? Правильно! Меняем непонятные циферки на другие и тут случается чудо:


Да, именно так, невероятно, мы видим название чужой беседы. И это в «самом защищённом» мессенджере!
Что ж, ещё поиграв с циферками мы можем познакомиться с культурами далёких стран:


И чуть менее далёких:


Этого было вполне достаточно, чтобы понять, что проблема есть. Я тут же написал репорт.
Ответ пришел всего через минуты три:


Чинили, на удивление, всего десять минут:


Безопасность это замечательно. И, разумеется, разработчикам telegram я тоже желаю всего наилучшего. Но, как мы видим, сейчас ещё не существует безопасных и проверенных временем подобных решений. Trust no one.

UPD Игорь Жуков на данный момент не работает в вк, за подсказку спасибо TakeThat
Поделиться публикацией
Похожие публикации
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 28
  • +4
    Провал резидента.
    • +39
      (здесь был тупой комментарий от меня, я его стёр)
      • 0
        Баг не в мессенджере, а в программном интерфейсе как таковом был.
        • +1
          Это не баг клиента, прочитайте, пожалуйста, до конца, это баг API.
        • +44
          Кстати говоря, как мы видим, как минимум названия чатов хранятся на сервере в открытом виде, то есть на данный момент угроза MITM всё ещё остаётся.
          • +6
            Согласен, где гарантии их честности? А тут ещё и исходники сервера закрыты, а АПИ пользуйся кто хочет… А даже если исходники открыты, где гарантия что сервер работает именно на них?

            Мне интересно, а будет ли вознаграждение за найденный баг?
            • +26
              Да вообще непонятно, как можно говорить о 146% безопасности с закрытыми исходниками? Безопасность и закрытый код — вещи по определению несовместимые.

              Какой-то бред, если честно. Который удивительным образом исходит от, вроде бы, прекрасных разработчиков. Я принёс посылку для вашего мальчика, только я вам её не отдам. Мы создали самый безопасный мессенджер, только продемонстрировать эту безопасность не можем.

              О чём вообще разговор? Забудьте уже про безопасность Telegram. Но опасен по-определению, как и абсолютно любой софт с закрытыми исходниками. Вот уж не ожидал от вконтактовцев такого наглого маркетинга. Кажется, им удалось убедить использовать «безопасный» с «telegram» даже тех, кто прекрасно понимает, что ни о какой безопасности идти и речи не может.
              • +1
                Да вообще непонятно, как можно говорить о 146% безопасности с закрытыми исходниками? Безопасность и закрытый код — вещи по определению несовместимые.
                Так сервер — это просто среда передачи. Как интернет. Если бы всё шифрование было end-to-end, то код самого сервера был неважен.
                • +8
                  Почитайте про их «механизм генерации ключей», еще совсем недавно он имел открытую закладку «для блага пользователей», позволяющую снять все шифрование с серверной стороны. Да, закладку «баг» закрыли, но уже с тех пор стало понятно, что без открытых исходников сервера Telegram априори не может считаться защищенным.
                  А до тех пор — забудьте про безопасность Telegram.
                  • +2
                    Я читал. Суть же не в исходниках сервера, а в самом шифровании, в его механизме генерации ключей. Сервер вообще по умолчанию должен считаться недоверенной стороной, потому что даже если исходники открыты, то никто не может гарантировать, что на сервере запущен именно результат чистой компиляции этих исходников.
                • +1
                  Забудьте уже про безопасность Telegram. Он опасен по-определению, как и абсолютно любой софт с закрытыми исходниками.

                  Добавлю от себя, что подобный софт (активно реклабирующий себя как «обеспечивающий приватность») опаснее традиционных мессенджеров в плане приватности. Потому что любопытные по долгу службы товарищи в первую очередь будут читать то, что пытаются скрыть.
              • –1
                Механизм генерации ключей между клиентом и сервером исключает возможность стороннего MITM. А для защиты от MITM со стороны сервера как раз и сделаны секретные чаты с оконечным шифрованием, в которых она невозможна.

                core.telegram.org/techfaq
              • +18
                Действительно, с 00:09 8 февраля до 22:48 10 февраля в АПИ была возможность получить название и изображение произвольного группового чата. С вечера 10го февраля этот недочет исправлен, спасибо.

                Следует отметить, что идентификаторы групп назначаются произвольно. Используя этот метод, получить информацию об участниках группы, сообщениях в ней или даже получить название беседы конкретного пользователя — невозможно.

                Хочу заметить, что я не являюсь сотрудником ВКонтакте с весны 2012 года.
                • +5
                  Наверное в этом и смысл громких заявлений, конкурсов и пафоса, чтобы было к клиенту пристальное внимание и люди находили новые баги.
                  • –5
                    Уязвимы были только те кто пользовались этим кривым веб клиентом (почему то я сразу подумал что веб клиент телеграма будет таким же кривым как и сам вк) или вообще любые пользователи телеграма? Если второе то за сим закапываем сей прекрасный месенджер.
                    • +7
                      Баг был в АПИ. Штрилиц, это провал.
                      • +2
                        Почему сразу закапываем? Не вижу особой разницы между багами в одном и другом месте. Вы написали в жизни что-нибудь такое, в чем потом никогда не находилось багов?
                        • +2
                          Ну да, сможет ли Егор обнаружить у себя бревно.
                          • +2
                            Если бы я писал секюрный месенжер и ку меня нашлась закладка в крипто плюс такой баг в апи я бы поджав хвост убрал весь бред про супер безопасность с сайта. Ну и во вторых я не разработчик, и как пользователь доверия к телеграму уже не осталось.
                            • –1
                              Поддерживаю на 1000000, такая нелепая нубская дыра в МЕГАСЕКУРНОМ протоколе — кому то должно быть ооооочень стыдно.
                      • +3
                        Не угадал автора по заголовку.
                        • +2
                          Вы наверное, удивитесь, узнав, что он еще и ваших корреспондентов серверу раскрывает, что, кстати, в некоторых ситуациях, не меньшая угроза безопасности.
                          У меня вообще есть подозрение, что телеграм рано или поздно начнеть монетизироваться, «сливая» социальные связи человека.
                          • +3
                            Кстати, а как вообще будет монетизироваться телеграм? Павел пишет что он будет бесплатный во веки веков, а так же свободен от рекламы. Им даже на акциях денег не поднять будет, так как какие инвесторы будут вкладывать в то, что не может приносить прибыль.
                            • +9
                              Да-да, а Jabber будет поддерживаться серверами «Вконтакте» всегда и во веки веков. Такому человеку можно верить!
                          • –2
                            Дно-Решето, API, который хоть что то отдает по чужой ссылке — это фейл, учитывая что эта дыра уже х** знает сколько там, как вообще можно после этого пользоваться этим говном?
                            • +4
                              Эти ребята настолько самоуверенные что похоже не заказывали пентестов у меня ни у кого. В whitebox аудите этот баг был бы просто очевиден.
                              • –3
                                Не понимаю, как они сами свой API тестили, похоже что одним полузакрытым глазом, думаю мы скоро еще услышим новости о том, как подменить id беседы и читать переписку )))))))
                                • +1
                                  Паранойя — это отдельный скилл, его прокачивать нужно ломая сознание, а нужен он не то чтобы много где.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.