МОСКВА, 2 окт — ПРАЙМ. Утечка IP-адресов пользователей мессенджера Telegram во пора звонков, хоть и затронула менее 0,01% всех звонков, но может очутиться как мелкой брешью в безопасности мессенджера, так и колоссальной ошибкой, находят опрошенные агентством «Прайм» эксперты.
Ранее издание Engadget известило, что специалист в области безопасности Дхирадж Мишра обнаружил утечку информации в приложение Telegram. Сообщалось, что была зафиксирована утечка IP-адресов пользователей во пора звонков через мессенджер из-за одноранговой системы сервера P2P, когда связь между двумя конструкциями идет напрямую. Компания уже устранила этот недочет в двух заключительных обновлениях Telegram, теперь пользователи могут полностью отключить систему P2P во пора аудиовызовов. За свою находку Мишра получил около 2,3 тысячи долларов.
Во вторник основатель Telegram Павел Дуров известил, что утечки IP-адресов пользователей во время аудиовызовов через мессенджер Telegram затронули немного 0,01% звонков. По словам Дурова, во время однорангового (P2P) вызова оба конструкции, с которых совершается звонок, должны знать IP-адреса товарищ друга. Благодаря тому, что вызов совершается напрямую без использования добавочных серверов, качество и скорость передачи аудиоданных повышаются. Однако сейчас во всех приложениях Telegram есть возможность отключить P2P.
Тонкий НЕДОЧЕТ ИЛИ КРУПНАЯ ОШИБКА
Эксперты разделились во мнении, как серьезными могут быть последствия этой утечки. Так, директор Российской ассоциации криптоиндустрии и блокчейна (РАКИБ) Арсений Щельцин находит, что это «колоссальная ошибка, которая рушит всю модель о полной приватности».
«Если злоумышленники желают взломать определенный аккаунт, им хватит тех самых 0,01%, о каких говорит Павел (Дуров, основатель Telegram — ред.). Добавить к этому социальную инженерию, и проблема о приватности уходит в прошлое», — рассказал он.
Руководитель Агентства кибербезопасности, член экспертного рекомендации комитета Госдумы по информполитике, информационным технологиям и связи Евгений Лифшиц противолежащего мнения. «Была небольшая брешь, которой, я думаю, никто не поспел воспользоваться и особо незачем. Но для идентификации абонента теоретически можно было воспользоваться. На мой взор, Telegram остаётся довольно защищённым мессенджером», — произнёс он.
«В любом софте есть баги в безопасности, поэтому устранение таких брешей процесс эволюционный. Чем сложнее приложение, тем вяще в нем может быть слабых мест в области безопасности, какие устраняются по мере их обнаружения», — добавил эксперт.
Глава департамента системных решений компании в сфере информбезопасности Group-IB Антон Фишман, в свою очередность, считает, что это была не утечка, а «технический недочет».
«Технология P2P предполагает ровную связь между двумя точками и прямую отправку этих между двумя устройствами, участвующими в «разговоре». Любая система, использующая P2P-подход, будет раскрывать IP-адреса. Чтобы этого не случилось, конечно, можно специально пускать трафик через собственный сервер (как, в данном случае, делает Telegram), тогда IP-адресов видать не будет. Но если пользователи использовали Desktop-версию мессенджера, то при звонке все равновелико раскрывался их IP-адрес», — пояснил он.
«Единственная «ошибка», какая была изначально допущена, заключается в том, что отсутствовала возможность отказаться от P2P. Это было неверно, но сейчас этот недочет уже исправлен», — напомнил он.
