Эксперты не исключают снижения надежности Telegram в случае, если приложение удалят из App Store и Google Play. Тогда пользователи перейдут в веб-версию мессенджера, где возможно увеличение количества фишинговых атак, также злоумышленники могут эксплуатировать уязвимости браузеров, говорят опрошенные «Известиями» специалисты по информационной безопасности. Кроме того, в нынешней версии клиента для браузеров нет секретных чатов, и технически вряд ли возможно добавить эту опцию. Впрочем, у сервиса надежный протокол шифрования, а приложение до сих пор доступно на всех платформах, успокаивают эксперты.
Новая среда — новые угрозы
Еще до того как американская некоммерческая организация «Коалиция за безопасный интернет» (Coalition for a Safer Web) подала в суд на Apple и потребовала удалить приложение из App Store, Павел Дуров заявлял, что команда Telegram разрабатывает многофункциональную версию клиента для браузера Safari. Очевидно, на тот случай, если мессенджер для iOS всё же удалят из App Store.
Приток новых пользователей в веб-версию Telegram в разы повысит вероятность обнаружения новых проблем в инфраструктуре мессенджера, считает независимый исследователь даркнета Олег Бахтадзе-Карнаухов. Технический директор группы компаний InfoWatch Андрей Бирюков тоже не исключает такого исхода и считает его естественным.
— Интерес к приложению обычно всегда повышает и внимание к нему хакеров (как «белых», так и «черных»). Поэтому можно ожидать увеличения числа найденных уязвимостей в Telegram, — сказал эксперт.
У Telegram уже есть версия для браузеров, но она отличается от приложений. Например, интерфейс веб-мессенджера переведен на меньшее число языков. В частности, нет поддержки русского. Главное отличие — в веб-версии нет секретных чатов.
— Они привязаны к определенному устройству, то есть сами чаты и данные в них не хранятся нигде, кроме как на устройствах участников беседы. К тому же в них доступен таймер самоуничтожения. В веб-версии такого функционала на сегодняшний день не предусмотрено, — обратил внимание эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.
Сейчас в принципе сложно представить реализацию этой опции без приложения на устройстве, добавил заместитель лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Такой сценарий практически невозможен, утверждает Олег Бахтадзе-Карнаухов.
Другой опасностью, которая будет подстерегать людей в веб-версии мессенджера, станет фишинг, считают эксперты. Это вид интернет-мошенничества: злоумышленники собирают чувствительную информацию пользователей (например, платежные данные) с помощью фейкового интерфейса, внешне неотличимого от истинного.
— Если в Telegram придет много новых пользователей, то они могут стать жертвами подобных атак. Например, в канал сторонников Дональда Трампа может опубликовать ссылку на «новый Twitter Трампа», по которой многие не задумываясь кликнут и перейдут на вредоносный сайт, — предположил Андрей Бирюков.
С ним согласен бывший директор по специальным проектам Telegram Антон Розенберг. По его словам, подсунуть левый сайт проще, чем провернуть аналогичный фокус с приложением.
Дыра в тылу
Даже если Telegram сделает безупречную версию мессенджера, пользователи не будут достаточно защищены от злоумышленников, считают эксперты.
— Если в браузере содержится какая-либо уязвимость, есть риск, что она будет «унаследована» веб-версией приложения. А из-за расширений (например, недобросовестных блокировщиков рекламы или программ для обхода блокировок сайтов) сторонние люди могут получить доступ к переписке, — рассказал Сергей Никитин.
Опасность несут не только уязвимости браузера, но и расширения для него, добавил Олег Бахтадзе-Карнаухов. Порой люди недостаточно внимательно изучают список разрешений, который они запрашивают, пояснил он.
— Некоторые пользователи сами устанавливают в браузер много расширений для удобства работы. При этом никто не может гарантировать, что эти браузерные расширения не будут интегрировать вредоносный код в страницу веб-версии Telegram. Сам Telegram этого никак не проверит. А хакер получит данные сессии или информацию из чатов, — предостерег эксперт.
Удар по безопасности пользователей Telegram могут нанести и уже действующие или новые вирусы на их устройствах, отметили в «Лаборатории Касперского».
— Утечка может случиться, например, с использованием зловредов, которые находят на зараженном устройстве запущенное приложение и записывают нажатия клавиш. Но если устройство заражено, то подобную схему злоумышленники могут реализовать и с поиском нужной вкладки в браузере. Достать секретный ключ из защищенного хранилища вредонос тоже может попробовать. Так что для приватности сообщений устройство следует защищать от вирусов, — сказал Денис Легезо.
Как минимум один раз Telegram уже был скомпрометирован через платформу, на которой было запущено приложение. В 2015 году независимый исследователь информационной безопасности Цук Аврахам смог получить доступ к содержимому даже секретных чатов Telegram, используя уязвимость в браузере Google Chrome для Android. Павел Дуров тогда сослался на то, что используемая Цуком ошибка является проблемой не Telegram, а самой платформы — то есть Android.
Даже в считающемся одним из наиболее безопасных Safari периодически находят уязвимости, указал Олег Бахтадзе-Карнаухов. Например, в августе 2020 года в мобильной и десктопной версиях браузера нашли ошибку, которая позволяет незаметно красть файлы с устройств пользователей. Apple пообещала исправить проблему с выпуском патча безопасности за апрель 2021 года.
Без паники
Пока что приложение Telegram доступно на всех платформах, и поводов переживать за пользователей веб-версии нет. Если новый продукт будет реализован корректно, то принципиальной разницы с мобильным клиентом пользователи не заметят, считают в Group-IB. Такого же мнения придерживаются в «Лаборатории Касперского».
— И в приложении, и в веб-версии трафик шифруется. Злоумышленникам недостаточно его перехватить, нужно еще и расшифровать. Сейчас трудно оценивать уровень защищенности будущих версий веб-клиента Telegram для Safari, так как речь, судя по всему, о доработке текущей, и неизвестно, как именно изменится их функционал, — сказал Денис Легезо.
Высока вероятность, что новая версия Telegram для Safari будет базироваться на текущем решении. В таком случае шансы появления новых уязвимостей ниже, чем в случае с запуском нового сервиса, считает Антон Розенберг.
Протокол шифрования в Telegram MTProto одинаково хорошо приспособлен как для работы в приложениях, так и веб-версиях, добавил Олег Бахтадзе-Карнаухов. Поэтому как минимум за перехват сообщений слабо организованными хакерскими группировками переживать не стоит, пояснил он.
«Известия» направили запрос в Telegram.