ФСБ взломала Телеграмм?

06.05.2019

В СМИ (начиная с “Известий”) появились сообщения о том, что сотрудничающая с ФСБ и МВД некоммерческая организация “Центр исследований легитимности и политического протеста” создали программу, способную определить номер телефона пользователя Telegram по его юзернейму.


Да, можно поддаться эмоциям и вопить о том, что “Известия” — издание провластное и, значит, там априори врут (а пруфов, строго говоря, в материале действительно не густо). Можно впасть в панику и достать давно заготовленную шапочку из фольги.

Но что если подойти к вопросу взвешенно и рассудительно? Возможно ли это?

В принципе — да. Несмотря на наше уважение к Дурову и его команде, мы не считаем, что Telegram не может иметь никаких уязвимостей, просто потому, что его сделал Дуров. Дырки в телеге наверняка есть (и будут), и существование уязвимости, которую можно использовать для выяснения номера телефона пользователя, тоже вполне вероятно. Но…

Правду ли нам сказали ?

Итак, по утверждениям “Центра исследований легитимности и политического протеста”, они нашли уязвимость в API телеги, в результате чего Telegram в ответ на запрос их программы (гордо названной Криптоскан) с юзернеймом, присылает номер телефона, ID, имя и фамилию пользователя. Якобы, для демонстрации работоспособности программы, разработчики пропустили через нее юзернейм одного из редакторов “Известий”. Номер телефона в ответе совпал, имя и фамилия — нет. Что разрабы немедленно назвали незначительным и не приоритетным, так как пользователи могут указывать псевдонимы.

Метод демонстрации уже вызывает вопросы — в журналистской среде принято вывешивать свои номера повсюду в социальных сетях и мессенджерах. Но главное даже не в этом.

Полезна ли ФСБ информация о номере телефона конкретного пользователя ? Да, безусловно. Но само пользование телегой правонарушением не является. То есть полезны эти данные сугубо в рамках сбора оперативной информации. Внимание, вопрос: есть для чекистов смысл в раскрытии методов сбора этой самой оперативной информации (если метод работает)? Особенно учитывая, что подобные публичные заявления сильно повышают вероятность того, что уязвимость прикроют. Явно нет. Мы не считаем спецслужбы всемогущими, всезнающими и все предусматривающими, но считать ФСБшников полными идиотами тоже не стоит.

То есть, вероятнее всего, история про дырку в API телеги (по крайней мере, именно эту дырку — другие-то вполне могут быть) — утка. Что приводит нас к следующему вопросу.

Зачем?

Конечно, можно было бы начать рассказывать про кампанию в СМИ по дискредитации Telegram (и небезосновательно). Но мы считаем, что мотивы этого громкого заявления куда более банальны.

Ни для кого не секрет, что провластные некоммерческие организации получают финансирование из госбюджета. Причем распределяют это финансирование ни разу не в ФСБ, и даже не в РКН. И, строго говоря, на фоне чиновников, отвечающих за финансирование НКО, РКН выглядит собранием профессионалов экстра-класса.

Многие “правильные” НКО давно уже освоили стратегию “вопи погромче на хайповые темы”. “Центр исследований легитимности и политического протеста” — ни разу не исключение. Эта контора уже неоднократно заявляла о разработке разнообразного ПО сомнительной степени полезности, но хорошо перекликающегося с “гениальными” идеями чинуш и пафосно названного («Демон Лапласа”, “Ангел-Хранитель” и прочая нечисть). Ну а борьба с телегой — тема хайповая, так что показать журналистам красивую картинку и надеяться на получение новой кучки госденег — вполне себе годный план.

Что нам делать ?

По поводу “Криптоскана” — ничего. Как уже упоминалось, озвученная уязвимость, вероятнее всего, липовая.

Однако даже эта липа — хорошее напоминание о том, что уязвимости в коде Telegram (как и любого другого программного продукта) вполне могут быть, так что не нужно считать телегу гарантией от всего. Использование даже максимально надежного и конфиденциального мессенджера не отменяет необходимости думать головой.