Утечка IP-адресов пользователей мессенджера Telegram во время звонков, хоть и затронула менее 0,01% всех звонков, но может оказаться как мелкой брешью в безопасности мессенджера, так и колоссальной ошибкой, считают опрошенные РИА Новости эксперты.
Ранее издание Engadget сообщило, что специалист в области безопасности Дхирадж Мишра обнаружил утечку информации в приложение Telegram. Сообщалось, что была зафиксирована утечка IP-адресов пользователей во время звонков через мессенджер из-за одноранговой системы сервера P2P, когда связь между двумя устройствами идет напрямую. Компания уже устранила этот недочет в двух последних обновлениях Telegram, теперь пользователи могут полностью отключить систему P2P во время аудиовызовов. За свою находку Мишра получил около 2,3 тысячи долларов.
Во вторник основатель Telegram Павел Дуров сообщил, что утечки IP-адресов пользователей во время аудиовызовов через мессенджер Telegram затронули менее 0,01% звонков. По словам Дурова, во время однорангового (P2P) вызова оба устройства, с которых совершается звонок, должны знать IP-адреса друг друга. Благодаря тому, что вызов совершается напрямую без использования дополнительных серверов, качество и скорость передачи аудиоданных повышаются. Однако теперь во всех приложениях Telegram есть возможность отключить P2P.
Мелкий недочет или крупная ошибка
Эксперты разделились во мнении, насколько серьезными могут быть последствия этой утечки. Так, директор Российской ассоциации криптоиндустрии и блокчейна (РАКИБ) Арсений Щельцин считает, что это "колоссальная ошибка, которая рушит всю модель о полной приватности".
"Если злоумышленники хотят взломать определенный аккаунт, им хватит тех самых 0,01%, о которых говорит Павел (Дуров, основатель Telegram — ред.). Добавить к этому социальную инженерию, и вопрос о приватности уходит в прошлое", — рассказал он.
Руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информполитике, информационным технологиям и связи Евгений Лифшиц противоположного мнения. "Была небольшая брешь, которой, я думаю, никто не успел воспользоваться и особо незачем. Но для идентификации абонента теоретически можно было воспользоваться. На мой взгляд, Telegram остаётся довольно защищённым мессенджером", — сказал он.
"В любом софте есть баги в безопасности, поэтому устранение таких брешей процесс эволюционный. Чем сложнее приложение, тем больше в нем может быть слабых мест в области безопасности, которые устраняются по мере их обнаружения", — добавил эксперт.
Руководитель департамента системных решений компании в сфере информбезопасности Group-IB Антон Фишман, в свою очередь, считает, что это была не утечка, а "технический недочет".
"Технология P2P предполагает прямую связь между двумя точками и прямую отправку данных между двумя устройствами, участвующими в "разговоре". Любая система, использующая P2P-подход, будет раскрывать IP-адреса. Чтобы этого не произошло, конечно, можно специально пускать трафик через свой сервер (как, в данном случае, делает Telegram), тогда IP-адресов видно не будет. Но если пользователи использовали Desktop-версию мессенджера, то при звонке все равно раскрывался их IP-адрес", — пояснил он.
"Единственная "ошибка", которая была изначально допущена, заключается в том, что отсутствовала возможность отказаться от P2P. Это было неправильно, но сейчас этот недочет уже исправлен", — напомнил он.