Telegram Мессенджер

Продукт
Разработчики: Telegram Messenger LLP
Дата премьеры системы: 2014/07/21
Дата последнего релиза: 2018/10/31
Отрасли: Интернет-сервисы
Технологии: IP-телефония,  Офисные приложения

Содержание

Telegram - российский бесплатный кроссплатформенный мессенджер для смартфонов и настольных компьютеров. ПО позволяет обмениваться текстовыми сообщениями и медиафайлами разных форматов.

Шифрование данных

Основная статья: Шифрование в Telegram

Единственным отличием мессенджера от других аналогов является стремление противостоять российским службам безопасности за счет отказа предоставлять ключи шифрования для доступа к переписке пользователей.

2018

В списке 20 самых защищенных мессенджеров по версии Artezio

Аналитический отдел Artezio (входит в группу компаний ЛАНИТ) 26 ноября 2018 года опубликовал список 20 мессенджеров, способных обеспечить высокий уровень приватности. Рейтинг был составлен по итогам комплексного тестирования программ, при этом качество шифрования данных и надежность средств защиты информации были ключевыми критериями при формировании итоговой экспертной оценки, сообщили TAdviser представители Artezio. Telegram расположился на третьем месте списка. Подробнее здесь.

Деанонимизация пользователей Telegram

1 октября 2018 года стало известно, что в мобильном клиенте мессенджера Telegram выявлена серьезная уязвимость, которая при определенных условиях может выдавать IP-адреса пользователей.

Как установили исследователи, по умолчанию Telegram направляет голосовые звонки через P2P-соединения. При этом IP-адрес может выводиться в консоли. Правда, не все версии Telegram поддерживают консоль, например, она не видна под Windows, но вполне доступна под Linux.

Утечка IP-адреса пользователя Telegram версии для PC на базе Ubuntu Linux

Эксперты выяснили, что если перенаправлять звонки через серверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменения настроек: Settings -> PrivateandSecurity -> VoiceCalls -> Peer-To-Peerна значения Never или Nobody, и при этом несколько снизится качество звучания.

Кроме того, отключить звонки через P2P легко удастся в iOS и Android, а, например, на десктопной версии Telegram под Windows это оказывается невозможным.

Эксперт по безопасности, известный под ником Дхирадж (Dhiraj), уже получил от разработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этой проблемы.

Уязвимость получила индекс CVE-2018-17780. На данный момент она исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь там появилась возможность отключать P2P-вызовы.

Разработчики Telegram изначально утверждали, что проблема с P2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчанию выставлена опция My Contacts, ограничивающая возможность просмотра IP-адреса пользователя списком его контактов.

Однако позднее выяснилось, что в API Telegram содержалась ошибка, которая приводит к тому, что в течение нескольких часов после очередного логина P2P-соединения оставались открытыми для всех. По информации компании, на 1 октября 2018 года эта проблема исправлена.[1]

Роскомнадзор готов разблокировать Telegram с согласия ФСБ

Представители Роскомнадзора сообщили в конце августе о готовности разблокировать Telegram, если Федеральная служба безопасности признает внесенные в политику конфиденциальности изменения исполнением требований законодательства РФ. Об этом сообщило информагентство «ТАСС».

«Согласно решению Таганского районного суда Москвы от 13 апреля 2018 года, ограничение доступа на территории России к интернет-ресурсам, функционирование которых обеспечивается Telegram Messenger Limited Partnership, осуществляется до исполнения указанным организатором распространения информации в сети интернет обязанности по предоставлению в федеральный орган исполнительной власти в области обеспечения безопасности информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений», - пояснили в пресс-службе РКН.

Таким образом решение о выполнении требований законодательства будет принимать ФСБ. При наличии положительного решения Роскомнадзор готов начать разблокировку, отметили в ведомстве.

Telegram пообещал выдавать номера и IP-адреса террористов

Как стало известно 28 августа 2018 года, компания Telegram опубликовала на своем официальном сайте обновленную политику конфиденциальности, согласно которой администрация мессенджера обязуется выдавать правоохранительным органам информацию о пользователях при наличии соответствующего запроса.

Как следует из пункта 8.3 обновленной политики, Telegram может выдать IP-адрес и номер телефона человека, но только при наличии соответствующего решения суда, доказывающего причастность пользователя к террористической деятельности.

Telegram может тайно читать сообщения пользователей

Telegram, популярный мессенджер, разработанный Павлом Дуровым, основателем социальной сети «Вконтакте», может следить за перепиской пользователей «облачных» чатов. К такому выводу пришли авторы Telegram-канала Mediatube, проанализировав механизм авторизации пользователей мессенджера[2].

При установке приложения на новое устройство, пользователю приходит SMS-сообщение с пятизначным кодом авторизации. Кроме того, тот же самый код дублируется в чате служебных уведомлений. Его можно увидеть на каждом устройстве владельца учетной записи Telegram. Данный код необходимо ввести на новом устройстве, чтобы начать пользоваться приложением.

Пользователи заметили, что, если скопировать код авторизации или ввести его вручную и отправить в любой чат, код потеряет свою актуальность и не сработает при попытке авторизоваться с его помощью на новом устройстве. Аннулирование кода авторизации произойдет даже в случае отправки смешанного сообщения – к коду можно добавить сколь угодно любых знаков, и это никак не повлияет на способность Telegram вычленить его из последовательности символов. Однако же при отправке кода в секретный чат данная процедура аннулирования не сработает.

Итоги проведенного эксперимента могут являться доказательством того, что переписка пользователей анализируется неким алгоритмом на стороне сервера, как минимум, при осуществлении авторизации. В пользу этой теории говорит тот факт, что код авторизации не аннулируется при отправке в секретный чат, поскольку сообщения в таких чатах подвергаются сквозному шифрованию, не хранятся на серверах Telegram и доступны лишь отправителю и получателю.

Данную особенность можно назвать интересным подходом к защите учетной записи от кражи кодов авторизации и предотвращению несанкционированного доступа к ней. Тем не менее, подобный подход оставляет поле для спекуляций и подозрений: не читает ли Telegram и другие сообщения пользователей?

РКН просил изменить код Telegram для получения ключей шифрования

До начала блокировки Telegram в России ФСБ и Роскомнадзор в течение года пытались убедить руководство компании Telegram изменить архитектуру мессенджера и предоставить ключи для дешифрования переписки пользователей. Как считают в ведомствах, у компании есть для этого техническая возможность. Об этом сообщила в июне 2018 года представитель Роскомнадзора в ходе рассмотрения жалобы представителей Telegram на решение Таганского районного суда по блокировке сервиса в России.

«
«ФСБ и Роскомнадзор в течение года предпринимали попытки побудить Telegram изменить архитектуру мессенджера. Мы считаем, что структура любого мессенджера может быть изменена для приведения в соответствии с российским законом. Поэтому мы считаем, что Telegram имеет техническую возможность предоставить ключи для дешифрования», - приводит ТАСС заявление представителя надзорной службы.
»

Разблокированы 8 млн IP-адресов, которые использовал Telegram

Роскомнадзор разблокировал порядка 8 млн IP-адресов, которые входят в подсети Amazon и Online Sas. Все они ранее были использованы мессенджером Telegram для обхода блокировок, пишет "Интерфакс".

Путин высказался против блокировки Telegram

На ежегодной «Прямой линии с Владимиром Путиным» Президент России, отвечая на вопросы зрителей, прокомментировал ситуацию, сложившуюся в результате попыток Роскомнадзора заблокировать мессенджер Telegram[3].

«
«Я прекрасно знаю о ситуации вокруг Телеграма. Но я на своем месте волнуюсь за безопасность людей. Я сам работал в спецслужбах и знаю: легче всего запретить, труднее найти цивилизованные способы решения. Я буду убеждать коллег идти по этому пути», — сказал президент.
»

То же самое, по его словам, относится к возможности запрета в России YouTube и Instagram. Путин сообщил, что Россия не собирается закрывать популярные соцсети и интернет-ресурсы. По его мнению, правоохранителям следует искать такие способы борьбы с терроризмом, которые не будут в ущерб свободе в интернете. Он намерен побуждать силовиков не ограничивать эту свободу. Президент предлагает практиковать использование различных инструментов, а не их блокировку.

Telegram раскрыла исходники прокси для обхода блокировок

Компания Telegram разместила[4] на портале GitHub исходный код прокси-сервера, работающего по протоколу MTProto. Инструкция по его настройке опубликована[5] на Docker Hub. Протокол работает только внутри мессенджера и не совместим с другими сервисами[6].

Для создания собственного прокси-сервера потребуется компьютер с установленным Docker и подключением к сети провайдера, не блокирующего доступ к интернет-ресурсам. Порт 443 должен быть свободным.

Отмечается, что один процесс прокси-сервера поддерживает десятки тысяч подключений. В целях улучшения производительности разработчики установили ограничение по обработке подключений – до 60 тыс. на одно ядро процессора.

На данный момент к MTProto-прокси могут подключаться только пользователи Android-устройств. Новые MTProto-прокси не работают на клиентах Telegram и Telegram X на платформе iOS, поскольку Apple с середины апреля блокирует обновления приложения Telegram в App Store.

Apple запрещает обновлять Telegram для iPhone и iPad

Компания Apple уже полтора месяца не позволяет мессенджеру Telegram обновить его приложение в AppStore. Об этом создатели мессенджера сообщили на сайте проекта в разделе «Часто задаваемые вопросы» (FAQ)[7].

Отвечая на вопрос о соответствии Telegram «Общему регламенту по защите данных» (GDPR) Евросоюза, авторы проекта сообщили, что «пользователи Android получили обновление GDPR в версии 4.8.9, Apple же глобально блокирует обновления Telegram для его iOS-приложения с середины апреля».

Роскомнадзор потребовал от Apple удалить Telegram из AppStore

Роскомнадзор направил в компанию Apple письмо с требованием прекратить распространение через App Store мессенджера Telegram, а также рассылку его сервисных push-уведомлений для российских пользователей.

«
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим Вас в кратчайшие сроки проинформировать нас о дальнейших действиях Компании, направленных на решение данных проблемных вопросов», — говорится в письме (орфография и пунктуация сохранены).
»

Глава ведомства Александр Жаров добавил, что Роскомнадзор будет ждать ответа от Apple «в течение месяца», поскольку речь идет о «компании с высокой степенью бюрократии», передает «Интерфакс».

Роскомнадзор вооружился против Telegram новыми технологиями

Глава Роскомнадзора Александр Жаров пообещал и впредь внедрять новые технические решения для блокировки Telegram на территории России. Как сообщил Жаров журналистам «Интерфакса» в кулуарах ПМЭФ 2018, в распоряжении ведомства уже есть определенные технические решения, готовые к внедрению[8].

О каких именно решениях идет речь, глава Роскомнадзора не уточнил, однако блокировать подсети каких-либо компаний регулятор больше не будет. Теперь Роскомнадзор «работает точечно» без вреда для «добропорядочных ресурсов».

По словам Жарова, ряд компаний уже предприняли соответствующие шаги с целью лишить Telegram возможности обходить блокировку. К примеру, Microsoft больше не предоставляет мессенджеру возможность использовать конфигурационный файл своего сервиса Microsoft Download. Предоставлять Telegram свои IP-адреса прекратила Google. Кроме того, по поводу Telegram продолжается диалог с Amazon. Переговоры с компанией идут не так быстро, как хотелось бы, и о результатах пока говорить рано, но «мы люди терпеливые», отметил Жаров.

В Telegram встроили инструменты обхода блокировок нового типа

На странице локализации приложения Telegram для ОС Android в мае 2018 года появились новые строки текста для перевода с английского на другие официальные языки приложения, которые свидетельствуют о том, что в ближайшее время в популярном мессенджере будет реализована поддержка прокси-сервера (службы в компьютерных сетях, выступающей в роли посредника между пользователем и некоторым ресурсом в сети) нового типа под названием MTProto Proxy[9].

Это решение разработано специально для обеспечения функционирования Telegram в условиях блокировки мессенджера провайдерами услуг связи.

Преимущество нового решения перед HTTP- и SOCKS5-прокси, поддержка которых реализована в стабильных версиях мессенджера, заключается в более высокой производительности и защищенности.

Кроме того, серверы на MTProto провайдерам будет значительно сложнее заблокировать.

Запрет Telegram в иранских госорганах

18 апреля 2018 года было объявлено о запрете Telegram в иранских государственных органах после того, как верховный лидер страны аятолла Али Хаменеи (Ali Khamenei) перестал пользоваться этим мессенджером по соображениям национальной безопасности.

«
В соответствии с защитой национальных интересов и для устранения монополии Telegram аятолла Хаменеи прекратит свою деятельность в этой сети, — говорится в его последнем сообщении в Telegram.
»

По сообщению новостного агентства ISNA, иранским госслужащим запретили использовать Telegram. Какие меры будут приниматься в отношении нарушивших это требование, не уточняется.

В государственных учреждениях Ирана запретили мессенджер Telegram

Али Хаменеи является активным пользователем социальных сетей, даже несмотря на блокировку Twitter и Facebook в Иране. Его канцелярия постоянно публикует фотографии и информацию с выступлений лидера. Пользователям Telegram после блокировки предлагается читать сообщения Хаменени в мессенджерах Soroush и Gap иранской разработки.

Telegram уже блокировали в Иране — в конце 2017 года после серии антиправительственных демонстраций. Однако спустя две недели сервис возобновил работу.

К середине апреля 2018 года мессенджером Telegram пользуются около 45 млн жителей, тогда как все население Ирана составляет 80 млн человек. Telegram популярен в странах Ближнего Востока и бывшего СССР, отмечает агентство Reuters.

Иранские СМИ в своих Telegram-каналах за несколько недель до отказа канцелярии Хаменеи использовать Telegram также предложили своим подписчикам различные варианты, где будут публиковаться актуальные новостные сообщения. Иранские новостные агентства и телевидение, однако, по-прежнему продолжают пользоваться мессенджером Telegram.

В апреле 2018 года представитель Верховного суда Ирана заявил, что Telegram и другие иностранные мессенджеры смогут работать в стране только, если получат разрешения от правительства и будут хранить данные граждан внутри страны.[10]

Удаление из App Store и Google Play

Роскомнадзор направил магазинам App Store и Google Play требование удалить Telegram, сообщает 17 апреля РБК со ссылкой на представителей регулятора. Удалить приложение магазины должны в «максимально короткие сроки». Ранее Роскомнадзор также потребовал удалить Telegram из крупнейшего зеркала приложений APK Mirror. Telegram исчез с сайта apkpure.com, где выкладываются установочные файлы программ, а с форума 4pda пропала ветка обсуждения Telegram.

Дуров выделит "миллионы из личных средств на сохранение Telegram"

Создатель Telegram Павел Дуров заявил о готовности выделить миллионы долларов из личных средств на гранты для администраторов сервисов proxy/VPN, помогающих обойти блокировку мессенджера. Об этом он написал на своей странице «ВКонтакте»[11].

«В рамках Цифрового Сопротивления – децентрализованного движения в защиту цифровых свобод и прогресса – я начал выплачивать биткоин-гранты администраторам proxy и vpn. В течение этого года буду рад пожертвовать миллионы долларов личных средств на эти цели», — сообщил Дуров.

В ходе охоты на Telegram РКН заблокировал 19 миллионов IP-адресов, в тч Google, Amazon, Microsoft

Основная статья [[Цензура (контроль) в интернете. Опыт России]

По данным главы Diphost, на данный момент в связи с блокировкой Telegram в реестр внесены около 18 млн IP-адресов. В частности, под блокировку попали пулы адресов, принадлежащие облачным сервисам Amazon, Google, Microsoft и др.

Роскомнадзор заблокировал подсети OVH, Hetzner, Online.net, Microsoft и др:

  • 18.236.0.0/15 - Amazon.com, Inc.
  • 54.64.0.0/13 - Amazon Technologies Inc.
  • 23.251.128.0/19 - Google LLC
  • 174.138.0.0/17 - DigitalOcean, LLC
  • 188.166.0.0/17 - Digital Ocean, Inc.
  • 159.203.0.0/16 - DigitalOcean, LLC
  • 128.199.0.0/16 - DigitalOcean Cloud
  • 159.65.0.0/16 - DigitalOcean, LLC
  • 52.32.0.0/16 - Amazon Technologies Inc.
  • 54.212.0.0/15 - Amazon.com, Inc.
  • 18.218.0.0/16 - Amazon Technologies Inc.
  • 13.230.0.0/15 - Amazon Data Services Japan
  • 35.176.0.0/15 - Amazon Data Services UK
  • 195.154.0.0/17 - Iliad Entreprises Customers
  • 51.136.0.0/15 - Microsoft Limited UK
  • 46.101.128.0/17 - Digital Ocean, Inc.
  • 185.166.212.0/23 - Clouding.io Virtual Machine Hosting
  • 178.63.0.0/16 - Hetzner Online GmbH
  • 51.15.0.0/16 - Online.net Dedicated Servers NL
  • 91.121.0.0/16 - OVH SAS
  • 18.204.0.0/14 - Amazon Technologies Inc.


21-22 апреля Роскомнадзор заблокировал несколько IP-адресов Google, следует из неофициальной копии выгрузки реестра, которую Роскомнадзор передает операторам связи для блокировки сайтов. Доступ ограничен к IP-адресам 74.125.131.101 и 64.233.165.106. По данным сервиса ipinfo.io, они принадлежат Google. По данным гендиректора провайдера Diphost Филиппа Кулина, всего заблокированы около 60 IP-адресов сайта google.com. Сбой в работе поисковой системы Google 22 апреля наблюдается в нескольких городах России, как свидетельствуют данные сервиса Downdetector, отслеживающего работу популярных интернет-ресурсов. Проблемы в работе поисковика начались примерно в час ночи по Москве. Сайт поисковика не открылся у 69% пользователей, еще 30% сообщили, что не могут войти в свои аккаунты.


К полудню 17 апреля в выгрузке черного списка Роскомнадзора, контролирующего блокировку операторами связи ресурсов с противоправным контентом, количество заблокированных IP-адресов превысило 4 500 000. Из них миллион представляют собой заблокированные подсети компании Amazon (52.58.0.0/15, 18.196.0.0/15, 18.194.0.0/15 и 35.156.0.0/14 были внесены в реестр одномоментно, позже в реестр была дополнительно внесены подсети 18.184.0.0/15 и 54.160.0.0/12), предоставляющей облачный сервис AWS, и более полутора миллиона — компании Google и холдинга Alphabet (подсети 35.192.0.0/12 и 35.184.0.0/13, чуть позже - 35.224.0.0/12).

За одни сутки 16 апреля 2018 года Роскомнадзор заблокировал в России примерно 0,04% всех IP-адресов пространства IPv4 (суммарно 2³² адресов). За вторые — еще столько же.

В результате этих действий менее, чем за двое суток с начала блокировки Telegram, частичную и временную недоступность испытали такие крупные компании, как Microsoft (Xbox), включая страницы с официально распространяемым ПО компании (http://software-download.microsoft.com/), Evernote, популярный и соблюдающий законодательство о передаче ключей шифрования мессенджер Viber, школа английского языка SkyEng, сервис курьерской доставки `Птичка`, платежный сервис Cloudpayments и многочисленные прокси- и VPN-серверы и сервисы. Также сообщалось о сбоях в работе банков из топ-20, частных клиник, шлюзов 3-D Secure.

По выражению руководителя надзорного органа Александра Жарова `происходит борьба брони и снаряда`, приведшая к недоступности не только провайдеров связи и хостинг-услуг, но и легитимных сервисов и продуктов многочисленных компаний, как российских, так и зарубежных.

Qrator Labs уведомляет о необходимости мониторинга состояния собственных сервисов и возможного попадания используемых IP-адресов в заблокированные подсети — технического решения данной проблемы, кроме как смены используемого IP-адреса, не существует. В ситуации дальнейшего блокирования подсетей крупных провайдеров проблема может запустить `эффект домино` и сказаться на сервисах, косвенно связанных с заблокированными подсетями. В случае попадания в блокировку подсетей таких сервисов, как GitHub, GitLab, DigitalOcean и многих других будет нарушена инфраструктура open-source модулей, приложений и расширений, используемых разработчиками при создании собственных систем и приложений.

Telegram обошел блокировку в России новым способом, который невозможно запретить

Изначально Telegram обошел блокировку Telegram в России с помощью IP-адресов компании Amazon, однако Роскомнадзор заранее заблокировал более полумиллиона из них, чтобы предотвратить работу сервиса ради исполнения российского законодательства. Тем не менее, администрация мессенджера нашла выход из сложившейся ситуации. Теперь производить блокировку отдельных адресов IP просто бесполезно, потому как сервис по-прежнему продолжит работать[12].

В приложение Telegram для всех платформ встроен сервисный пуш DC_Update, который служит для обновления адреса дата-центра, с которых осуществляется связь. В обычное время он используется для повышения стабильности и ускорения отправки / получения сообщений, однако его можно использовать и для обхода блокировок, что решила сделать администрация мессенджера. Ранее такой метод никто никогда не использовал.

Система пуш DC_Update работает так, что запрос происходит не от сервера Telegram, который в России блокируют, а с сервером Apple, Google и Microsoft. Каждый раз когда пуш обновляется, а это происходит постоянно, приложение может скрытно ото всех получать адреса новых серверов мессенджера. Чтобы заблокировать этот обходной путь Роскомнадзору придется заблокировать десятки миллионов IP-адресов, что приведет к полной изоляции всего российского интернета от мирового.

Даже если вдруг каким-то чудом Роскомнадзор сможет узнать адреса IP, к которым обращаются Google, Apple и Microsoft с помощью DC_Update, то он все равно не станет их блокировать, потому как в таком случае корректно перестанут работать все сторонние приложения, в том числе WhatsApp, Viber и прочие. Веб-версия месседжера Telegram не использует данный пуш из-за ограничений, поэтому она навсегда так и останется заблокированной.

Суд постановил немедленно заблокировать Telegram в России

Таганский районный суд города Москвы постановил ограничить на территории России доступ к сервису Telegram. Об этом заявила судья Юлия Смолина, передает корреспондент РБК с заседания[13].

Суд также удовлетворил ходатайство Роскомнадзора о немедленном вступлении в силу решения о блокировке мессенджера. Теперь Роскомнадзор должен направить решение суда операторам связи с указанием о необходимости принятия мер по ограничению доступа к сервису. В реестр заблокированных страниц могут быть внесены доменные имена telegram.org, web.telegram.org, t.me и IP-адреса серверов Telegram. После этого провайдеры должны будут ограничить доступ к ресурсам мессенджера в течение суток с момента обновления реестра (обновляется ежедневно в 09:00 и 21:00 мск).

Бизнесмен и программист Павел Дуров опубликовал для пользователей "Телеграма" подробную инструкцию о том, как продолжать оставаться на связи в популярном приложении. По его словам, мессенджер будет использовать встроенные методы обхода блокировок, не требующие действий от пользователей, однако он не гарантирует доступность сервиса без использования VPN.

Таганский суд Москвы вынес решение о блокировке Telegram на территории РФ. Что стоит иметь в виду пользователям:

  • Telegram будет использовать встроенные методы обхода блокировок, которые не требуют действий от пользователей, однако 100%-ая доступность сервиса без VPN не гарантирована.
  • В первые часы блокировки сторонние VPN/Proxy-сервисы могут быть перегружены и с большой вероятностью будут работать медленно.
  • Независимо от наличия блокировки, Telegram сохранит возможность централизованно рассылать уведомления всем российским пользователям, информируя о развитии ситуации.

Важно: не удаляйте и не переустанавливайте Telegram при возникновении проблем со связью. Старайтесь своевременно скачивать обновления Telegram в AppStore или Google Play.

Чужие записи в Telegram может отредактировать любой желающий

Исследователь безопасности, известный в ИТ-блоге Habrahabr под псевдонимом w9w, рассказал об обнаруженных им уязвимостях в мессенджере Telegram[14].

В ходе исследования, проведенного автором, выяснилось, что привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в Telegraph, издательском сервисе, тесно интегрированном с Telegram, может редактировать любой желающий.

Редактирование чужих сообщений

Уязвимость затрагивает издательский сервис Telegraph, разработанный Павлом Дуровым и командой мессенджера Telegram в 2016 г. Проанализировав, HTTP-запрос, отправляемый на сервера Telegraph, автор пришел к выводу, что для редактирования абсолютно любой статьи злоумышленнику необходимо знать только ее уникальный идентификатор, который можно найти непосредственно в HTML-коде страницы с этой статьей.

Как правило, защита от подобных атак сводится к сверке токена (случайного набора байт), сгенерированного сервером, с отправленным пользователем при переходе по ссылке или нажатии кнопки. В случае несовпадения серверного и клиентского токенов, сервер отказывает пользователю в выполнении запрошенной операции. По словам автора исследования, в случае с Telegraph данный подход, как и иные способы защиты, не применяется.

Приватные чаты в опасности

Обнаружить одну из уязвимостей удалось в процессе тестирования стороннего ресурса, взаимодействующего с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере. Сайт предлагал платные советы по инвестициям в криптовалюты, и в качестве одного из каналов получения подобной информации выступал Telegram-бот. Бота можно было подключить, перейдя по ссылке вида t.me/Another_bot?start=CODE, где CODE – секретная последовательность символов, связанная с учетной записью пользователя на сайте. Решив проверить «чувствительные» данные в URL (едином указателе ресурса в интернете) на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram.

Сформировав так называемый «дорк» (Google Dork Query – особый запрос к поисковой системе, позволяющий найти скрытую от посторонних глаз публичную информацию) следующего вида: site:t.me inurl:Another_bot?start=, автор исследования обнаружил публично доступный личный код случайного платного подписчика того самого ресурса о криптовалютах. Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию конфиденциальных данных. Причиной данного недоразумения автор называется отсутствие файла robots.txt в корневом каталоге ресурса, связанного с доменом t.me. Данный файл используется веб-мастерами для задания параметров индексирования сайта. К примеру, при помощи данного файла можно запретить поисковым роботам индексировать определенные разделы веб-ресурса, таким образом полностью исключив их появление в поисковой выдаче.

2017

Из-за угрозы блокировки Telegram стал самым быстрорастущим мессенджером

С мая по декабрь 2017 года интерес пользователей к мессенджеру Telegram показал самый высокий рост по сравнению с другими популярными в России аналогичными сервисами, по данным исследовательской компании ​SimilarWeb, подготовленным по запросу РБК[15].

Если в мае Telegram из Google Play (за девять месяцев 2017 года доля Android в сегменте смартфонов в России составила 88%) скачали 833,2 тыс. раз, то в ноябре зафиксировано уже более 1,682 млн установок: с 1 мая по 1 декабря рост количества скачиваний составил 168%. Почти вдвое за этот период увеличилась и доля активных пользователей мессенджера (считается как доля пользователей приложения в сутки от общего числа всех пользователей устройств, работающих на операционной системе Android в России) — с 3,17 до 5,51%, что позволило по этому показателю обогнать, например, Skype (3,9% в ноябре).

Для сравнения, WhatsApp, самое популярное в России приложение для общения, в мае скачали 2,7 млн раз, в ноябре — 3,8 млн (активная аудитория за то же время увеличилась с 29,97 до 33,27%).

Возросшую популярность Telegram за последние месяцы в России подтверждают и рейтинги App Annie по скачиваниям. С октябрь по декабрь 2017 года Telegram входил в топ-3 приложений для общения как в App Store, так и в Google Play, а в июне и ноябре держался на первых строчках по скачиваниям среди всех приложений App Store. ​

Платежный функционал

Разработчики Telegram запустили в мессенджере функцию онлайн-платежей Bot Payments. Функция предназначена для создателей ботов, которые теперь смогут принимать платежи от своих клиентов из разных стран мира.

«Если у вас установлен Telegram 4.0 или более новая версия, вы можете заказать товары или услуги через предлагающих их ботов. Когда вы нажмете `Оплатить` (Pay), вам будет предложено ввести данные банковской карты, заполнить информацию о доставке и подтвердить платеж. И вы получите заказанное», — пишут разработчики. При этом если аккаунт пользователя Telegramзащищен двухэтапной авторизацией (подтверждение по СМС и ввод пароля).

Данные карты могут быть сохранены для будущих покупок. Таким образом, в следующий раз процедура заказа через ботов будет проще. Поскольку Telegram является открытой платформой, разработчики уточнили, что создатели ботов могут использовать необходимые API и принимать платежи без предварительной процедуры согласования.

Платформа для денежных переводов позволит пользователям совершать покупки через ботов внутри мессенджера. У ботов появится специальная кнопка для заказа и оплаты товаров и услуг.

Для оплаты клиенту бота необходимо будет ввести данные банковской карты и подтвердить платеж. Карта при этом будет привязываться к ботам, покупки у которых пользователь уже делал.

В тексте сообщается, что платеж будет идти напрямую от клиента разработчику бота, минуя сам Telegram. Никакой комиссии со сделок мессенджер взимать не будет. Кроме того, сервис не будет принимать жалобы и требования вернуть деньги пользователям, так как не будет хранить данные банковских карт.

Большинство платежей будет осуществляться через платежную систему Stripe, пока не развитую в России. Однако в описании подчеркивается, что платформа открыта для платежных систем и из других стран.

Бета с функцией голосовых звонков

13 марта 2017 года компания Telegram Messenger сообщила о выпуске бета-версии мессенджера Telegram, в которой стала доступна функция голосовых вызовов. Полный функционал услуги пока недоступен и о сроках его запуска неизвестно.

Со ссылкой на группу Telegram News в соцсети, СМИ сообщили о наличии режима шифрования голосовых вызовов в режиме end-to-end и доступности только личных звонков. Доступны функции отключения микрофона и включения громкой связи, возможность применить персональные разрешения для звонков (например, только пользователям, указанным в контактах)[16].

Доступна функция отключения звонков «Disconnected Calls». Предположительно звонки будут и на официальное приложение мессенджера для настольных ОС - Telegram Desktop.

Функционал окончательно не утвержден и некоторые функции могут быть недоступны. Возможность звонков названа «главным обновлением года», но период запуска полнофункционального режима никем из официальных лиц не комментируется.

Об официальных комментариях разработчиков мессенджера Telegram на 13 марта 2017 года неизвестно.

На 13 марта 2017 года действующая стабильная версия мессенджера для Android 3.17. Для iOS - 3.16.1.

2016: Как работает Telegram: обзор технологий

В составе глобального сервиса используются проприетарная серверная часть c закрытым кодом и несколько клиентов с открытым исходным кодом, в том числе под лицензией GNU GPL.

Скриншот окна приложения на ПК, (2015)

Учётные записи пользователей привязываются к телефонным номерам. При регистрации в сервисе и последующей авторизации устройств, проводится проверка телефонного номера посредством SMS-сообщений с кодом или телефонный вызов.

Скриншот окна приложения на мобильном устройстве, (2016)

Для обеспечения безопасности сообщение мессенджера создан протокол MTProto. Он предполагает использование нескольких протоколов шифрования. При авторизации и аутентификации используются алгоритмы RSA-2048, DH-2048 для шифрования, при передаче сообщений протокола в сеть они шифруются AES с ключом, известным клиенту и серверу. Используются и криптографические хэш-алгоритмы SHA-1 и MD5.

Защита от перехвата пересылаемых сообщений со стороны сервера Telegram обеспечивается в режиме «секретных» чатов (Secret Chats) (доступен с 8 октября 2013 года). В этом режиме выполняется шифрование, при котором только отправитель и получатель имеют общий ключ (end-to-end шифрование), с применением алгоритма AES-256 в режиме IGE (англ. Infinite Garble Extension) для пересылаемых сообщений. Сообщения в секретных чатах не дешифруются сервером, а история переписки сохраняется только на двух устройствах, инициаторах создания чата.

При обмене файлами можно отправить файлы с устройства, искать медиаконтент в интернете, в том случае, если используется мобильная версия для iOS или Android. Размер передаваемых файлов ограничен 1,5 ГБ.

Программа использует систему продолжения передачи файлов в случае обрыва связи.

При помощи специального API сторонние разработчики могут создавать «ботов», специальные аккаунты, управляемые программами. Типичные боты отвечают на команды в персональных и групповых чатах, могут выполнять поиск в интернете, другие задачи, применяются в развлекательных целях или в бизнесе.

Смотрите также (мессенджеры)




Системы мгновенных сообщений с пользователями сайта


Локальные



Примечания



РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (14)
Название решенияРазработчикКоличество
проектов
Врачи ПодмосковьяМинистерство здравоохранения Московской области0


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год

  Naumen (Наумен консалтинг) (1, 7)
  Cisco Systems (2, 4)
  Avaya (3, 3)
  Microsoft (2, 3)
  S2S Next (1, 2)
  Другие (8, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год

  Microsoft (11, 41)
  Синтеллект (Syntellect) (2, 18)
  Новые облачные технологии (1, 4)
  YSoft (1, 3)
  Preton (1, 2)
  Другие (16, 18)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год