А вот и новости про нашу среду обитания - дорогой Telegram - подвезли.
По наводке итальянского ресерчера Андреа Фортуна нам попалось на глаза исследование проекта HackerFactor, основной целью которого было выяснить является ли Telegram безопасным и приватным мессенджером. Исследователи говорят, что нет.
Мы решили разобраться в чем дело. Впечатления неоднозначные, если честно.
Во-первых, HackerFactor говорят, что обнаружить трафик Telegram, равно как и заблокировать доступ, нетрудно. Ха! Пойдите расскажите это Жарову.
Другое дело, что, по словам исследователей, в момент паузы при наборе текста Telegram демонстрирует некую сетевую активность. То ли передает черновик текста на сервер, то ли пересылает флажок "набирает текст", точно неизвестно. Если первое - то это не есть good.
Опять же, не до конца ясно, - происходит ли это в открытом канале или в секьюр чате.
А вот то, что при наборе URL Telegram начинает его подгружать, свидетельствует, что как минимум ссылки мессенджер расшифровывает и в таком виде их видит сервер. При этом сервер делает запрос GET к целевому ресурсу. Это не по фэншую.
Более того, в ходе исследования выяснилось, что сервер Telegram кэширует ссылки (как минимум) и хранит их в дальнейшем, поскольку перезапуск клиента кэш не очищает.
Ну и плюс локальный кэш, который можно расшифровать при наличии доступа к локальным файлам.
Кто-нибудь, передайте Дурову, что это зашквар.
https://www.hackerfactor.com/blog/index.php?/archives/872-Not-So-Secret-Messages.html
По наводке итальянского ресерчера Андреа Фортуна нам попалось на глаза исследование проекта HackerFactor, основной целью которого было выяснить является ли Telegram безопасным и приватным мессенджером. Исследователи говорят, что нет.
Мы решили разобраться в чем дело. Впечатления неоднозначные, если честно.
Во-первых, HackerFactor говорят, что обнаружить трафик Telegram, равно как и заблокировать доступ, нетрудно. Ха! Пойдите расскажите это Жарову.
Другое дело, что, по словам исследователей, в момент паузы при наборе текста Telegram демонстрирует некую сетевую активность. То ли передает черновик текста на сервер, то ли пересылает флажок "набирает текст", точно неизвестно. Если первое - то это не есть good.
Опять же, не до конца ясно, - происходит ли это в открытом канале или в секьюр чате.
А вот то, что при наборе URL Telegram начинает его подгружать, свидетельствует, что как минимум ссылки мессенджер расшифровывает и в таком виде их видит сервер. При этом сервер делает запрос GET к целевому ресурсу. Это не по фэншую.
Более того, в ходе исследования выяснилось, что сервер Telegram кэширует ссылки (как минимум) и хранит их в дальнейшем, поскольку перезапуск клиента кэш не очищает.
Ну и плюс локальный кэш, который можно расшифровать при наличии доступа к локальным файлам.
Кто-нибудь, передайте Дурову, что это зашквар.
https://www.hackerfactor.com/blog/index.php?/archives/872-Not-So-Secret-Messages.html