Криптографы нашли в Telegram четыре уязвимости. Разработчики мессенджера были оповещены о них в середине апреля, а к середине июня все проблемы были устранены.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Уязвимости были найдены в проприетарном протоколе шифрования MTProto и не представляли серьёзной опасности. Исследователи указали, что если бы в Telegram использовался более распространённый протокол Transport Layer Security, этих уязвимостей можно было бы избежать, поскольку он гораздо лучше изучен ИБ-специалистами.

Первая уязвимость теоретически позволяла злоумышленнику менять последовательность сообщений, отправленных жертвой. Из-за этого мог меняться смысл высказываний, особенно если жертва пишет короткими фразами, а не длинными предложениями.

Вторая уязвимость позволяла узнать, чем было зашифровано сообщение — сервером или пользовательским устройством. Практической пользы от её применения нет.

Третья уязвимость позволяла обойти одну из ступеней защиты. Она тоже бесполезна, поскольку оставалось ещё несколько ступеней, обойти которые у злоумышленника не получилось бы, а значит, перехваченные сообщения было невозможно расшифровать, они оставались в нечитаемом виде.

Четвёртая уязвимость самая сложная и экзотичная — она позволяла перехватывать сообщения в протоколе передачи данных с помощью атаки man-in-the-middle (человек посередине). Но для успешной реализации этой атаки требовалось отправить на сервер Telegram около миллиарда сообщений в течение короткого времени, что не осталось бы незамеченным серверной системой защиты от DDoS.