5 июля 2025

eur = 93.01 -0.12 (-0.13 %)

btc = 108 028.00$ - 816.08 (-0.75 %)

eth = 2 513.58$ -38.00 (-1.49 %)

ton = 2.74$ -0.09 (-3.03 %)

usd = 78.84 0.05 (0.07 %)

eur = 93.01 -0.12 (-0.13 %)

btc = 108 028.00$ - 816.08 (-0.75 %)

Криптографы обнаружили четыре уязвимости в протоколе шифрования Telegram

2 минуты на чтение
Криптографы обнаружили четыре уязвимости в протоколе шифрования Telegram

Международная группа криптографов обнаружила четыре криптографические уязвимости в MTProto, который Telegram использует для шифрования. Об уязвимостях исследователи сообщили Telegram 16 апреля 2021 года и договорились сохранить информацию в секрете до 16 июля, чтобы разработчики успели всё исправить.

Все они уже исправлены разработчиками мессенджера. В Telegram также напомнили, что готовы платить от $100 до $100 000 за уязвимости и баги.

Как поясняется в опубликованном документе, непосредственный риск всех уязвимостей невелик, поскольку их реализация практически невозможна на практике.

Но в конечном итоге они доказывают, что ключевые вопросы безопасности в Telegram можно было бы решить лучше, безопаснее и надёжнее, если бы сервис использовал стандартный подход к криптографии, – заявил профессор Швейцарской высшей технической школы в Цюрихе Кенни Патерсон, принимавший участие в исследовании.

Мессенджер Telegram полагается на собственный протокол шифрования MTProto, а не более распространённый Transport Layer Security. Ранее некоторые исследователи уже скептически высказывались об отношении к MTProto и нынешнее исследование подтверждает, что протокол не лишён недостатков.

Для большинства пользователей непосредственный риск невелик, но эти уязвимости подчёркивают, что Telegram не соответствует криптографическим гарантиям, которые обеспечивают другие распространённые криптографические протоколы, — говорится в заявлении исследователей.

Наиболее серьёзная из обнаруженных уязвимостей получила от криптографов название «криминальная пицца». Теоретически, она позволяет злоумышленника манипулировать последовательностью сообщений, поступающих от клиента на один из облачных серверов Telegram.

В качестве примера её использования, эксперты приводят гипотетическую ситуацию, когда человек одобряет пиццу и негативно высказывается о преступлении. Изменения порядка сообщений даёт шанс выставить всё таким образом, будто человек поощряет преступление.

Вторая уязвимость позволяет злоумышленнику определить, зашифровано сообщение клиентом или сервером.

Третья уязвимость была обнаружена в несовершенном коде клиентов Android и iOS, а также десктопной версии. Она позволяла обойти одну из ступеней защиты. Однако, эксперты не нашли способа использовать это для расшифровки сообщений. Как объясняют разработчики Telegram: Представьте себе дверь с несколькими замками, вам удалось открыть один из них, но дверь, скрывающая ваши сообщения – всё ещё под защитой остальных двух.

Четвёртая уязвимость позволяла перехватить сообщения, вмешиваясь в протокол передачи данных, методом «человек посередине» (MITM) на этапе согласования ключей между клиентом и сервером. Однако, для реализации этого требовалась отправка миллиарда сообщений в течение короткого времени на сервер Telegram.

В конечном счёте, как уже ранее отмечалось, все озвученные выше уязвимости не представляли для большинства пользователей опасности из-за нереализуемых условий, к тому же все они на текущий момент уже исправлены разработчиками мессенджера.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
55a36004-2499-4525-b9c9-49bd7b11eff2-изображение-0de994f7a-c143-4170-b352-00ce21ff0b2e-изображение-1

GigaChat Max: коротко о главном

Tesla запустила первую автономную зарядную станцию на солнечных батареях

Полная версия 
2f70d456-4e83-4017-824b-73ecace9a69f-изображение-0

GigaChat Max: коротко о главном

Издатели в ЕС подали жалобы на Google из-за ИИ-сводок в поиске

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 371
Газпромбанк
OTP Bank
Т-Банк
X5 Tech
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы