Совсем недавно безопасность мессенджера Telegram уже была поставлена под вопрос. Тогда потенциально уязвимые места перечислил ИБ-исследователь, известный как the Grugq. Теперь финский исследователь Ола Флисбек (Ola Flisbäck) продемонстрировал, что опасения не были беспочвенны. Оказалось, собрать метаданные Telegram очень легко.

Флисбек опубликовал результаты своего небольшого исследования на GitHub. Исследователь пишет, что обмен метаданным невидим для пользователей десктопных и мобильных клиентов Telegram, но сторонние клиенты эту информацию прекрасным образом отображают. Так, воспользовавшись клиентом CLI можно увидеть все эти «невидимые» данные.

climetadata

Исследователь сообщает, что официальные приложения Telegram излишне «болтливы». К примеру, клиент для Android рассылает уведомления всему списку контактов всякий раз, когда он становится «приортитетным» приложением в системе, или наоборот перестает им быть. Если у атакующего и жертвы есть несколько общих контактов, одних только этих данных хватит, чтобы понять, кто с кем разговаривал.

Хакер, фактически, может «оформить подписку» на все метаданые жертвы, просто добавив её в свой список контактов в Android. К сожалению, взаимного согласия Telegram в таком случае не спрашивает. Более того, жертва ничего об этом не узнает, так как никаких уведомлений не будет, и хакер вообще не отобразится в списке контактов Telegram.

Собрав достаточно метаданных, можно разобраться в том, когда конкретные люди разговаривали друг с другом. Казалось бы, проблема незначительная, но для мессенджера, который ставит во главу угла защиту данных и полную конфиденциальность своих пользователей, это все-таки проблема.

Фото: Windowscentral



5 комментариев

  1. snouden

    01.12.2015 at 16:33

    Назвать требующий при регистрации номер телефона Telegram безопасным дорогого стоит.

  2. Kismet

    02.12.2015 at 10:36

    Все понятно а как «оформить подписку» на все метаданые жертвы, просто добавив её в свой список контактов в Android

  3. Kismet

    02.12.2015 at 10:38

    В журнале есть такая возможность описать все подробно… как да че. Было бы очень интересно

  4. linkmaster

    02.12.2015 at 12:43

    А viber как? С ватсаппом всё понятно… Я делаю по-другому. Снёс нафиг всё с тела. И Viber тоже, кстати.

  5. Kismet

    02.12.2015 at 13:23

    Разобрался с теле граммом. Примеры применения на практике для пентеста есть у кого

Оставить мнение