Дуров прокомментировал уязвимость Telegram

Основатель популярного (и безуспешно запрещаемого в России) мессенджера дал оценку ситуации с обнаруженной на днях уязвимостью своего творения. Напомним, что «дырку» нашел специалист в области кибербезопасности Дхирадж Мишра.
Дуров прокомментировал уязвимость Telegram

Суть проблемы, вкратце, сводится к возможности определения IP-адресов пользователей, совершающих аудиозвонки при помощи мессенджера.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Используемая в Telegram технология peer to peer, при которой обмен даными производится напрямую между устройствами пользователей, без участия каких-либо сторонних серверов, подразумевает, что оба устройства знают IP-адрес собеседника. В противном случае они не смогут установить связь. При некотором желании и знании найденного Мишрой бага, этот адрес можно извлечь.

Благодаря тому, что вызов совершается напрямую без использования дополнительных серверов, качество и скорость передачи аудиоданных повышаются.

Если пользователя этот вариант не устраивает, он может отключить P2P. В этом случае трафик пойдет через сервер Telegram, и собеседник не будет знать IP-адрес отправителя.

Возможность отключения P2P до недавнего времени была во всех версиях мессенджера, кроме десктопной. Теперь, после обнаружения уязвимости, ее добавили и туда.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

По оценке Дурова, найденная уязвимость могла затронуть примерно 0.01% пользователей.

По сообщению РИА Новости, мнения опрошенных экспертов разделились. Так, директор Российской ассоциации криптоиндустрии и блокчейна (РАКИБ) Арсений Щельцин считает, что это «колоссальная ошибка, которая рушит всю модель о полной приватности».


Руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информполитике, информационным технологиям и связи Евгений Лифшиц противоположного мнения. «Была небольшая брешь, которой, я думаю, никто не успел воспользоваться и особо незачем. Но для идентификации абонента теоретически можно было воспользоваться. На мой взгляд, Telegram остаётся довольно защищённым мессенджером», — сказал он.