Я время от времени интересуюсь мессенджером Telegram. Он традиционно считается значительно более надёжным и защищённым, чем все остальные (вайбер, whatsapp, skype). Тем не менее, финский программист Ола Флисбек нашёл интересную уязвимость в мобильном клиенте программы.

Оказывается, что клиент для Android отправляет уведомления всем контактам пользователя в двух случаях: когда приложение становится активным (приоритетным) и перестаёт им быть.

Не нужно никаких дополнительных приёмов, чтобы собрать информацию о том, когда пользователь был онлайн, программа сама их отправляет. Эти данные никак не отображаются в официальных клиентах, но сторонние программы могут их собирать и обрабатывать.

Чем это плохо? Если у злоумышленника есть несколько общих контактов (или в идеале все контакты жертвы), то он без труда сможет выяснять, с кем он общался в тот или иной момент. Само содержание переписки при этом недоступно.

telegram делится информацией

Если у атакующего и жертвы есть несколько общих контактов, одних только этих данных хватит, чтобы понять, кто с кем разговаривал. Любой желающий сможет добавить жертву в список контактов и знать, в какое время, с кем и сколько он общается.

Никаких разрешений от самого Telegram для этого не требуется. А сама жертва даже не узнает о том, что представляет для кого-то интерес.

По большому счёту, это не критическая уязвимость (которая к тому же будет закрыта через неделю-другую), но пока что это важный момент, который угрожает конфиденциальности переписки.

Коменти

Andrey

Чёт я не понял, сообщается информация о то что контакт был в онлайне или о том что он чатится с другим конкретным контактом?

Кто я

О том что он был в онлайне. Параноики высосут проблемы из всего