На днях скандально известный русскоязычный видеоблогер overbafer1, получивший популярность благодаря видеороликам с подробными инструкциями о хакерских взломах, опубликовал видео, в котором раскритиковал мессенджер Telegram, делая необоснованные выводы о приложении и всей ситуации вокруг самого сервиса.
Сегодня мы сделаем детальный разбор требуемых Телеграму разрешений, изучим исходный код мобильного приложения, вспомним ситуации большого конфликта Дурова с властями и, наконец-то, разберём — что же такое анонимный мессенджер. На основе этого сделаем вывод, действительно ли мессенджер не подтверждает своей анонимности, как об этом заявил видеоблогер.
Анонимный мессенджер знает обо мне всё!
Предыстория
overbafer1 является популярным русскоязычным видеоблогером с очень лояльной аудиторией и его подписчики очень любят за то, что открывает людям правду. Он может рассказать, как уничтожить чужой бизнес через карты Google; и как бесплатно использовать мобильный интернет, при этом не тратя ни копейки за это; и как через соседский Wi-Fi сидеть; и как удалённо управлять чужим смартфоном. Всё это хорошо было, если бы он не затронул тему мессенджера Telegram.
Обычно Игорь делает более детальные разборы, но в данном видео совершенно необоснованно призвал пользователей Telegram быть аккуратнее, потому что он совсем «не анонимный». Разберём по порядку, почему блогер не прав.
Разрешения для мобильных приложений мессенджера
В видео Игорь рассказал о своём шоке от того, что Telegram получает доступ к IMEI. Об этом он узнал, посетив страницу настроек своего Android-устройства, где в информации о приложении рассмотрел, какие разрешения требует Telegram при установке. Давайте возьмём iOS и Android, и рассмотрим, что же за разрешения требует мессенджер.
На Android-устройстве мы насчитали около 30 разрешений:
На iOS-устройстве ситуация такая:
Так зачем же Telegram хочет знать ваш IMEI? А может не хочет? В списке разрешений мы найдём такой permission:
<uses-permission android:name="android.permission.READPHONESTATE"/>
Список основных разрешений выглядит так:
Проверим документацию Google, а после посмотрим на ситуацию с устройствами Apple. Давайте узнаем, что означает вышеуказанное разрешение:
Он может давать доступ только для чтения к состоянию телефона, включая номер телефона устройства, текущую информацию о сотовой сети, состояние любых текущих вызовов и список любых телефонных учётных записей, зарегистрированных на устройстве.
Ага, приложение для Android использует самую свежую версию API, а значит идентифицировать IMEI нам поможет только вызов
android.telephony.TelephonyManager.getImei().
Но зачем в корыстных целях использовать IMEI? Правильно! Для создания уникального идентификатора устройства в целях сохранения необходимых параметров при перезагрузке устройства или удалении приложения. Обычно, запрос к IMEI может возвращать нулевые значения и для создания уникального идентификатора может использоваться комплексный код (на основе считывания Wi-Fi или Bluetooth MAC, gps-координирования). В особенности для Android есть такие варианты:
Settings.Secure.getString(this.getContentResolver(),
*Settings.Secure.ANDROIDID)
или
TelephonyManager telephonyManager =
(TelephonyManager)getSystemService(Context.TELEPHONYSERVICE);
String imei="";
if (android.os.Build.VERSION.SDKINT >= 26) {
imei=telephonyManager.getImei();
}
else
{
imei=telephonyManager.getDeviceId();
}
История с iOS-версией только подтверждает, что IMEI по сути не нужен приложению Telegram, так как Apple вообще ограничивает возможности идентифицировать устройства. Есть недокументированный вариант, который с помощью использования NSUUID сохраняет в keychain. Использует ли такое Telegram?
if let uuidData = self.load(valueIdentifier)
if let uuid = NSString(data: uuidData, encoding: NSUTF8StringEncoding){
return uuid as String
}
}
if let UUID:String = CFUUIDCreateString(nil, CFUUIDCreate(nil)) as String{
var NSUUID:NSString = NSString(string: UUID).lowercaseString
NSUUID = NSUUID.stringByReplacingOccurrencesOfString("-", withString: "")
if let data = NSUUID.dataUsingEncoding(NSUTF8StringEncoding, allowLossyConversion: false){
self.save(valueIdentifier, data: data)
}
return NSUUID as String
}
«Код Дурова» нашёл исходный код приложения для Android и соответственно для iOS.
Поиск среди всего кода показал, что даже намёка на запрос для считывания IMEI и отправку его на внешние ресурсы в каких-либо целях — совершенно нет, а это значит, что душа пользователей и самого Игоря может быть спокойна.
Ну а доступ к местоположению (отправка другу своего текущего местоположения), камере (сделать фото прямо в приложении, записать видеосообщение), микрофону (записать голосовое сообщение), внутренней памяти (доступ к фотографиям или документам для отправки другу), телефонным контактам (приглашение новых людей или мгновенный поиск друзей, что уже зарегистрированы), просмотру SMS и MMS (при авторизации с SMS-проверкой автоматизированное подтверждение кода), Bluetooth (отправка материалов или приглашения в мессенджер непосредственно с приложения) — даже не смешно, Игорь. Быть может удалить не Telegram, а смартфон?
Наркотики, экстремизм, терроризм
Хотя, Павел Дуров вообще предлагает запретить слова. Блогер заявил, что если мессенджер действительно анонимный, то в нём недопустимы реалии, когда блокируются каналы, боты, пользователи, позволяющие приобретать наркотические средства, или же распространяющие экстремистские, террористические идеи. Но Игорь не просёк одного важного момента.
Да, действительно в Telegram блокируются подобные площадки, но сам мессенджер самостоятельно не выискивает подобные площадки. Для этого существует линия обратной связи. Сотни каналов, нарушающие правила мессенджера — ежедневно блокируются благодаря репортам обычных пользователей. Об этом можно узнать непосредственно на официальном канале ISIS Watch.
«Мы внимательно рассматриваем все сообщения, которые присылаются нам на [email protected] и принимаем меры по блокированию таких каналов»
Все чаты между пользователями приватны. Но наборы стикеров, каналы и боты — публичные. Поэтому, если пользователи считают, что контент, распространяемый таким путём, относится к запрещённому, они могут отправить жалобу. Если пользователь отправит своему другу порноматериал или предложение купить наркотики — никого за это не заблокируют, а уж тем-более — не посадят. Возможности террористов и наркодиллеров позволяют избегать блокировок, ведь условия для анонимности всегда открыты в данном мессенджере.
Другое дело — когда всё это касается открытых любому пользователю каналов или ботов. О блокировках таких площадок и идёт речь. Так где в таком случае нарушение той «ламповой» анонимности? Поддерживать распространение терроризма и наркомагазинов — не считается правильным у адекватных людей. А если пользователь захочет анонимно распространять наркотики, используя возможности создания приватного канала или бота (да и такое в Telegram можно реализовать) — никто ему не помешает, пока не найдётся другой пользователь (который попал сюда потому, что либо на заборе ссылку увидел, либо друг скинул), который захочет, чтобы данный ресурс заблокировали. Речи ведь о том, что вычислят и накажут владельцев данных площадок — не идёт.
«Чтобы победить терроризм через блокировки, придется заблокировать Интернет», — Павел Дуров
Новый секретный чат
Блогер был удивлён тому, что если позвонить пользователю через секретный чат, то голосовой вызов будет происходить «не по секретному чату, а уже по обычному».
Во-первых, функция голосового вызова никак не связана с секретными чатами. Во-вторых, секретный чат — это когда сообщения, голосовые и видео-сообщения двух людей доступны только на их устройствах, через которые были начаты секретные диалоги.
В-третьих, голосовые вызовы — это отдельная функция и она подвергается сквозному шифрованию. Убедиться в защищённости звонка можно по набору эмодзи на экране вызова, сравнив их с набором собеседника.
Дуров и ФСБ
Видеоблогер в своём ролике сказал, что «Павел Валерьевич отказал в незаконном мониторинге переписок граждан, но про легальный способ достать переписку он отказа не давал». Но ведь стоп, «незаконный мониторинг» — это и есть попытка доступа к личным перепискам и в российском законодательстве в этом плане двоякое отношение к слову «законность». Конституция и «закон Яровой», как бы сказать, живут разными понятиями о «законности».
«Думайте, когда вы что-то пишете», — говорит overbafer1
Странно то, что Игорь упустил информацию о том, что Дуров отказался передавать властям переписку пользователей Telegram, написав об этом на своей странице в VK ещё несколько лет назад:
«Проект как не выдавал, так и не будет выдавать личные данные и ключи шифрования третьим сторонам. Мессенджер популярен среди десятков миллионов пользователей на десятках рынков, и угроза блокирования на одном или двух из них не повлияет на его политику конфиденциальности», — заявил Дуров в 2015 году
Также создатель Telegram отказался сотрудничать с ФБР (напомним, давление со стороны американских спецслужб происходит ещё со времён управления соцсетью «ВКонтакте») и дал им только ту информацию о мессенджере, которая и так была известна всем. В случае с РФ — произошла аналогичная ситуация.
О возможности легального способа достать переписку речи не идёт, так как уже признали невозможность технически реализовать всем известные «законы Яровой» в плане Telegram.
Дуров получил самый дешёвый пиар своего детища
Вспоминая историю, когда Telegram оштрафовали на 800 тысяч рублей за отказ сотрудничать с ФСБ, передавая ключи переписок — блогер утверждает, что для Павла Валерьевича такие деньги — копейки. Ну а с помощью такого способа «пропиариться на весь мир» — это очень дешёвая возможность, ведь после этого Telegram, на фоне скандалов, по итогам года был признан самым быстрорастущим мессенджером по количеству скачиваний и размеру аудитории в России.
Дуров со своими коллегами пересчитывает деньги на фоне прекрасного вида из окна. 2012:
Но почему в словах Игоря прослеживается обвинение в адрес Дурова? Вся эта крупная история произошла ради того, чтобы пропиарить свой мессенджер? Российские власти сами захотели получить доступ к тому, что технически взломать нет возможности, так в чём же виноват Павел Валерьевич?
Вердикт
Если вы, overbafer1, считаете, что реально получить доступ к личной переписке Telegram и что на законодательном уровне такое можно реализовать, то запишите видео, где расскажете, как вы с успехом поэтапно взламываете чужой telegram-аккаунт.
2013 год. Дуров предлагает 200 000 долларов, если кто-то взломает мессенджер:
Если вы считаете, что мессенджер нельзя назвать анонимным, то не забывайте, что Telegram — это не что-то похожее на «даркнет», это открытая сфера, в которой под обозначением «анонимность» проводится защита обычного пользователя от людей, которые хотят иметь возможности прочитать его сообщения, узнать текущее местоположение и другую личную информацию.
Под обозначением «анонимность» не должно иметься в виду, что тут спокойно можно заниматься развитием наркобизнеса и распространением экстремизма — этим занимаются и так, и стоит признать, что в данном мессенджере такие вещи уже достаточно хорошо прижились, соответственно людей, которые такими вещами занимаются — достаточно много. Ведь тут лучше и удобнее, чем на других просторах обычного интернета. Но свобода на свободном популярном сервисе должна быть разумной.
Миссия Telegram — обеспечивать безопасные условия общения во всём мире, но сервис имеет право блокировать неправомерный контент. Мессенджер не против площадок, которые добиваются свободы слова. Если в какой-то стране критика правительства незаконна, Telegram не будет частью такой «политически мотивированной цензуры», так как это противоречит принципам, с которыми десяток лет идёт бок-о-бок команда Дурова.
Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!
