Прямо перед тем, как Верховный суд России должен рассмотреть жалобу представителей Telegram, в Сети появилась информация, что Центр исследований легитимности и политического протеста поставил крест на анонимности мессенджера, обнаружив в нём уязвимость. Она позволяет узнать номер телефона пользователя по его юзернейму. Специальная программа, получившая названия «Криптоскан», отправляет запрос в Telegram, и он выдаёт ID пользователя, его номер телефона, фамилию и имя.
Как отметили в «Известиях», издание протестировало систему, однако нельзя сказать, что работает она исправно: «Криптоскан» показал правильный номер телефона одного из редакторов, но ошибся с именем и фамилией. Тем не менее руководитель центра Евгений Венедиктов заявил, что они уже начали помогать МВД и ФСБ в поиске пользователей по их запросам.
При этом возникает логичный вопрос — зачем программисты, желая содействовать спецслужбам, рассказывают о найденной уязвимости журналистам?
Хорошо забытое старое
За комментариями News.ru обратился к экспертам по кибербезопасности. Так, ранее мы уже писали, что, по словам руководителя проектного направления Group-IB Антона Фишмана, никакой новой уязвимости в Telegram нет. А находка Центра исследований легитимности и политического протеста — это на самом деле фича, о которой уже давно известно.
Следите за развитием событий в нашем Телеграм-канале
Фишман объяснил, как работает «схема»: пользователь добавляет в телефонную книжку номер телефона, и он автоматически появляется в мессенджере, где отображаются его ник, ФИО и номер телефона. Соответственно, добавив номер человека, вы можете связать этот телефон с его «ником» и другой информацией. Различные исследовательские агентства, агентства по безопасности и другие компании уже очень давно берут несколько сим-карт и перебирают все номера телефонов для того, чтобы получить соответствие номера телефона и «ник» в Telegram. Именно таким образом, по словам Фишмана, и создаётся база, которую после можно использовать для поиска.
«Понятное дело, что Telegram добавляет определённые ограничения, то есть по одному номеру телефона нельзя искать больше какого-то количества, нельзя заводить больше определённого количества контактов. Но эти ограничения были не всегда. Соответственно, ранее, год или два назад, можно было просканировать всё пространство российских телефонов, например, и получить все "ники". Этим пользовались и "белые" ребята-кибербезопасники, и злоумышленники», — добавил Фишман.
Аналогичный комментарий предоставил News.ru и аналитик отдела аудита защищённости Digital Security Александр Романов.
«Скорее всего, уязвимости в API (программный интерфейс приложения. — News.ru) нет, а приложение просто использует базу телефонных номеров, созданную простым вбиванием всех возможных в адресную книгу телефона. После чего запущенный на смартфоне клиент Telegram отобразит всех существующих пользователей, находящихся в телефонной книге», — заявил Романов.
Крепость выстояла
Узнав о якобы обнаруженной уязвимости, многие издания сообщили о деанонимизации Telegram, однако так ли это на самом деле? Руководитель проектного направления Group-IB считает, что это не нарушает анонимность пользователей. Ведь люди, желающие её сохранить и занимающиеся противоправными действиями, пользовались и будут продолжать пользоваться анонимными сим-картами, которые можно приобрести, или просто покупают анонимные номера телефонов в других странах. Что касается обычных граждан, которые просто не хотят всем подряд показывать свой номер телефона, то они общаются с другими такими же людьми, у которых доступа к подобным системам нет.
«Вы в любом случае привязываете свой аккаунт к телефону — о какой полной анонимности можно говорить? Анонимность заключается в том, что ваши секретные сообщения не могут читать люди, которым они не предназначены», — подчеркнул Фишман.
Стоит отметить, что Центр исследований легитимности и политического протеста не в первый раз проявляет заинтересованность в цифровой помощи обществу. Так, автономная некоммерческая организация утверждала, что разработала программу «Демон Лапласа», которая круглосуточно изучает соцсети в поисках экстремистских материалов. Все собранные данные с указанием конкретных страниц затем направляются в региональные правоохранительные органы. Кроме того, в планах у Центра также значилось создание «электронной базы несанкционированных акций и митингов» и системы «Ангел-хранитель», которая будет присылать родителям СМС-сообщения, если их дети заинтересуются запрещёнными в России организациями.
На момент написания материала Верховный суд отклонил жалобу Telegram на приказ ФСБ.