В Telegram нашли уязвимость, позволяющую искать номера пользователей по юзернейму
Специалисты российского «Центра исследований легитимности и политического протеста» создали сервис для определения номеров телефонов пользователей Telegram по юзернейму. Разработчики планируют использовать его для помощи правоохранительным органам и спецслужбам.
Предыстория
До сих пор считавшийся анонимным мессенджер перестаёт быть таковым.
Программисты «Центра исследований легитимности и политического протеста», разработав некий уникальный сервис с названием «Криптоскан», дали возможность правоохранительным органам установить личность абонента, которые перед этим запрашивают информацию у операторов связи. Эксперты утверждают, что новая технология может быть полезна в поиске преступников:
Мы проанализировали API (часть программного интерфейса приложения, — прим. «Код Дурова») и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей, — рассказал Евгений Венедиктов, руководитель центра.
Как описывают специалисты, суть нового сервиса заключается в том, что программа направляет запрос, содержащий юзернейм, в Telegram, и далее приложение выдаёт следуюшие данные пользователя — ID и номер телефона, фамилию и имя.
Для уверенности в работоспособности системы журналисты «Известий» попросили показать работу «Криптоскан» в действии на одном из своих редакторов. Утверждается, что номер телефона совпал, а имя и фамилия — нет, так как в мессенджере пользователь может придумать себе любой псевдоним, не указывая достоверные данные.
Если удастся деанонимизировать пользователей, у правоохранительных органов появится больше возможностей вычислять нарушителей закона, — считает Евгений Корчаго, член совета по взаимодействию с институтами гражданского общества при председателе Совета Федерации.
Почему всё не так красиво, как утверждают специалисты?
Пункт первый.
Начнём с того, что изначально сам Telegram уверяет, что никто не может получить доступ к номеру телефона просто так. Если пользователь знает юзернейм другого пользователя — ему это не поможет получить номер в следующих случаях:
- собеседники переписывались в одном чате (секретном в том числе);
- собеседники переписывались в одной группе.
Получить номер пользователя можно только в том случае, если у отправителя уже есть в контактах SIM-карты номер телефона. Это работает также, как и при отправке SMS-сообщения.
Пункт второй.
Достаточно легко поверить в реальную схему некой деанонимизации пользователей, например:
- закупается огромная база российских номеров;
- происходит ввод этих номеров в контакты;
- в итоге генерируется список действующих аккаунтов Telegram, привязанных к тем или иным номерам.
Вот только есть одно НО. Специалисты утверждают, что новый сервис будет использоваться для, например, поиска преступников, которые активно занимаются распространением информации о продаже наркотиков через чаты.
Возникает следующий вопрос: даже если законодательство Российской Федерации предполагает за собой продажу SIM-карт по паспорту, то почему подобные преступники будут заниматься такими покупками? Ни для кого не секрет, что в Интернете существуют куча сервисов, позволяющих покупать «левые» номера: как российские, так и зарубежные.
Преступникам выгодно приобретать «левые» номера как раз по причине того, что так просто гораздо легче. Ясно ведь, что злоумышленникам явно необходимо покупать несколько номеров, — аккаунты могут часто блокировать, например.
Стоит отметить, что преступники уже давно вышли на новый уровень обеспечения своей безопасности: в Telegram часто можно встретить рассылки, в которых пользователям предлагают продать запрещённый товар не через личные чаты, а через боты.
Так кого же спецслужбы будут искать?
Не понятно, зачем вообще публично заявили о некой уязвимости. Если она действительно существует, то логично предположить скорейшее исправление ситуации разработчиками мессенджера. Если сотрудники спецслужб и правоохранительных органов перед публичным заявлением уже успели воспользоваться сервисом, то, вероятно, далее его полезность исчезнет.
Чтобы использовать возможную уязвимость себе в пользу, например, для открытия какого-либо уголовного дела, то путь спецслужб к человеку по схеме «аккаунт Telegram — звонок в дверь», — достаточно длинный:
- спецслужбы производят запуск системы;
- получают номер телефона, привязанный к аккаунту;
- отправляют запрос к оператору для получения всех данных, известных по полученному номеру: информация о звонках, местоположение, на кого зарегистрирован номер и т.д.
Всё это должно происходить на законных основаниях, поэтому на данный момент не стоит переживать, что уже сейчас спецслужбы с помощью Telegram знают, кто вы и где вы находитесь.
Ждём официальных заявлений со стороны представителей Telegram.
Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!
Читать первым в Telegram-канале «Код Дурова»