Почему ни один мессенджер не защитит вашу переписку от спецслужб⁠⁠

Telegram вышел на рынок гораздо позже WhatsApp, Viber, WeChat и других. Однако за короткое время приобрел репутацию самого безопасного мессенджера. Разработка основателя соцсети «ВКонтакте» Павла Дурова была представлена под лозунгом «Вернем себе право на приватность».

В основе Telegram лежит технология шифрования переписки MTProto, которую разработал брат Павла Дурова, Николай. Вскоре после запуска сервиса Дуров устроил конкурс на взлом защиты мессенджера. Участникам Хакатона предлагалось достать переписки Дурова в «секретном чате» за $200 000. Но в рамках конкурса никто этого сделать не смог.

Эксперты однако скептически настроены к Telegram, в основном из-за того, что шифрование переписки происходит только в чатах и шифрование по умолчанию отключено. Главный технолог Американского союза гражданских свобод Кристофер Согоян заявил, что позиционирование мессенджера с точки зрения безопасности неоправданно, поскольку компании должны думать о защите по умолчанию, а не заставлять пользователей менять настройки клиента.

Шифрование — ключевая функция безопасности мессенджеров, при этом самым надежным считается сквозное. Его суть заключается в том, что ключи для расшифровки сообщений хранятся на устройствах пользователей, а не на внешних серверах. Соответственно, никто, кроме пользователей, не может получить доступ к переписке. Этот формат шифрования используется по умолчанию в WhatsApp, Viber, iMessage и других сервисах.

Закрытость для независимого аудита делает MTProto потенциально уязвимым для будущих атак, считают эксперты. Они утверждают, что конкурсы, которые проводил Дуров, делались исключительно для пиара, так как эти мероприятия не доказывают защищенности сервиса и вводят в заблуждение пользователей.

Так как Telegram, как и многие другие мессенджеры, используют для авторизации отправку сообщений на номер телефона, получить доступ к аккаунту и переписке можно даже не взламывая MTProto. Дело в том, что в основе такого способа передачи информации лежит технология сорокалетней давности Signalling System No.7 (SS7).

Спецслужбы могут перехватить сообщение с кодом и получить доступ к любому аккаунту. Ранее это продемонстрировали российские, а затем немецкие хакеры. А благодаря тому, что Telegram хранит всю историю обычных сообщений, злоумышленникам это только на руку.

Уязвимость безопасности SS7 позволяет, зная номер жертвы, без труда инициировать процедуру восстановления доступа к аккаунту, после чего перехватить сообщение и установить свой собственный пароль. Эта уязвимость делает шифрование Telegram, WhatsApp и Viber бесполезным и открывает для успешных атак любой привязанный к номеру телефона аккаунт.