4 мая 2016

Дуров не продаёт Telegram и рекомендует включить всем двухфакторную верификацию против взлома своего аккаунта

 В последнее время, вокруг Павла Дурова и его детища — мессенджера Telegram возникает очень много слухов, которые Дуров едва успевает опровергать. Кроме того, в предпраздничные дни возникла странная ситуация со взломом мессенджеров двух российских оппозиционеров, и на это события создателю ВКонтакте также пришлось реагировать.

После того, как сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский сообщили в своих микроблогах в Twitter о несанкционированном доступе к их аккаунтам в Telegram, полученном неизвестными в ночь на 29 апреля, создатель мессенджера Павел Дуров написал следующее обращение:

«…судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного sms-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС, что в случае с оппозиционными журналистами маловероятно).

Рекомендацию для жителей проблемных стран я уже опубликовал; также будем делать массовую Телеграм-рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадежны.

Как я пользуюсь Телеграмом: есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к сим-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию. Риск возникает тогда, когда отсутствует все вышеперечисленное».

.

Ситуация, случившаяся в предпраздничные дни, вышла достаточно скандальной, в первую очередь, для оператора связи, ибо величину репутационных потерь в случае подтверждения подозрений оппозиционеров измерить будет невозможно (кстати, о безобразном отношении госструктур и операторов к пользовательским данным россиян мы уже писали ранее). Как подозревают Албуров и Козловский, оператор мобильной связи МТС без их ведома предоставил доступ к их номерам третьим лицам. Тем же вечером Албуров заявил, что техподдержка Telegram прислала ему сообщение о том, что в его аккаунт вошли с IP-адреса, зарегистрированного в Нью-Йорке. Судя по опубликованному Албуровым скриншоту, вход в его аккаунт был осуществлен через необычный клиент под названием TelegramCli, работающий в виде командной строки под Linux. На сайте Telegram он указан как неофициальный, а его разработкой занимался Виталий Вальтман, выпускник матмеха СПбГУ:

.

Предположительно, взлом учетных записей в Telegram могли организовать при помощи дубликатов сим-карт активистов. Козловский отметил, что его сим-карта не была заблокирована, а Албуров сообщил, что в личном кабинете на сайте оператора связи у него не активирована переадресация SMS. Всю хронологию событий Олег Козловский описал в своём Facebook. В свою очередь Георгий Албуров заявил о намерении Албуров намерен подать несколько исков и заявлений, в частности, он собирается направить заявления в Роспотребнадзор и Роскомнадзор, а также иски в российские и иностранные суды (акции МТС торгуются в Лондоне и Нью-Йорке).

Обращение Павла Дурова с рекомендацией об использовании двухшаговой защиты появилось вечером 2 мая, причём поначалу Telegram не связывала инцидент со спецслужбами напрямую.

Интересно, изменится ли теперь мнение приличных иностранных компаний относительно хранения персональных данных российских пользователей на территории РФ?

До этого случая в прессе относительно Telegram и его создателя появлялась масса слухов о якобы намерении Дурова продать мессенджер. В конце апреля в издании Fortune появилась информация, что Google собирался приобрести Telegram за миллиард долларов, но сам основатель позже опроверг эту информацию в своём твиттере:

«Странно, что Fortune поверила слухам из низкосортного блога. Мы никогда не вели никаких переговоров о слиянии и не планируем».

.

Сейчас в издании заменили заголовок на «Telegram опровергает сообщения о переговорах с Google».

Далее создатель мессенджера обратился к Дэвиду Мейеру с вопросом о том, почему издание так быстро опубликовало неподтвержденный слух:

«Так вы подождали нашего комментария 50 минут и решили опубликовать слух? Прошу прощения, я был на встрече».

.

В обновленной версии материала Fortune появились официальные комментарии Google и Telegram. В американской компании журналу заявили, что «не комментируют слухи и спекуляции». Пресс-секретарь Telegram Маркус Ра был более «прямолинейным»: все сообщения СМИ он назвал «полной чепухой», подчеркнув, что имеет в виду не детали, а всю информацию целиком, сообщает Fortune.

Также недавно египетский исследователь Мохамед А. Басет (Mohamed A. Baset) заявил, что веб-клиент Telegram оказался уязвим перед кликджекингом:

«Не можешь атаковать шифрование – ищи проблемы в клиенте».

.

Данная тактика принесла плоды: Басет обнаружил уязвимость в веб-клиенте популярного мессенджера.

В блоге исследователь рассказал, что веб-клиент Telegram оказался не защищен от обыкновенных кликджекинг-атак. Вместо заголовка X-Frame-Options веб-версия мессенджера использовала технику так называемого «выталкивания фреймов» (frame busting), чтобы предотвратить внедрение iframe на сайт. Воспользовавшись одной из особенностей HTML5, а именно добавив атрибут sandbox к своему iframe, Басен успешно атаковал веб-клиент, обойдя защиту.

Исследователь рассказал, что дополнительно Telegram использовал еще один трюк: через CSS любым тегам HTML присваивалось значение «none», что сводило практически весь успех на нет. Однако Басена это не остановило. «Всё, что нам нужно, это просто заблокировать доступ к файлу стиля, который отвечает за главную страницу веб-приложения», — пишет исследователь. Для предотвращения доступа к https://web.telegram.org/css/app.css Басен предложил реализовать man-in-the-middle атаку или воспользоваться какой-либо другой техникой.

Успешно осуществив вышеописанное, злоумышленник получал возможность изменить конфиденциальные данные залогиненного пользователям Telegram (пароль, email для восстановления данных и так далее). Кроме того, атакующий мог отправлять сообщения от лица скомпрометированного пользователя, посылать запросы контактов и приглашения в группы. Также можно было отметить все сообщения пользователя, как прочитанные, дополнительно эксплуатировав CSRF (cross-site request forgery) баг в клиенте. На устранение проблемы у разработчиков Telegram ушло около четырех дней, и 29 апреля Басет сообщил, что уязвимость была исправлена: теперь веб-клиент использует заголовок X-Frame-Options на стороне сервера.

21 апреля Павел Дуров объявил конкурс среди разработчиков ботов, премиальный фонд которого составляет 1 млн долл., говорится в блоге компании.

Согласно условиям, размещенным на сайте, лучших участников конкурса, которые представят самых необычных и функциональных ботов для Telegram, ждут гранты от 25 тыс. долл. При этом после получения гранта победитель ничего не должен компании.

Гранты будут вручаться несколькими партиями до 31 декабря 2016 года. Боты должны работать на базе Telegram, но их можно перенести и с других платформ, главное, чтобы в этом мессенджере они «чувствовали себя как дома». Для участия в розыгрыше необходимо подать заявку — порядок ее подачи также описан в блоге.

Как видим, количество информационных поводов на единицу времени для одной компании очень велико. Назвать это всё стечением случайных обстоятельств сложно, поэтому будем следить за развитием событий.

Читайте также:

Противоречащий Конституции РФ новый законопроект Яровой-Озерова несет риск утечки баз данных россиян на черный рынок
🔓
Персональные данные граждан, отправляемые на госсайты, признаны уязвимыми к перехвату
🔓
Утечка паролей: Обнажусь, но деньги не забирайте!
🔓
Facebook не удовлетворил все четыре запроса от российских госорганов по раскрытию данных пользователей

_____

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.