[1]Telegram столкнулся с интересной проблемой. Изображение Кевина Ротрока.
Пользовательница приложения Telegram из России сообщила о том, что получает странные уведомления из чатов, в которых она никогда не участвовала. Нежелательные уведомления, кроме всего прочего, позволили ей следить за внутренней перепиской команды независимого телеканала «Дождь». Как и почему это произошло? И что это говорит о якобы защищенной системе для общения?
TJournal сообщает [2], что пользователь Telegram Анна Горбачева купила подержанный iPhone у знакомой в ноябре 2015 года. Хоть они и не сделали сброс к заводским установкам, предыдущая владелица вышла из всех социальных сетей и iCloud. Вначале телефон отлично работал.
Но месяц спустя на экране стали появляться странные уведомления:
Слева: скриншот с экрана iPhone, показывающий уведомления из SMM-чата телеканала «Дождь». Справа: скриншот попытки Анны отправить в чат сообщение. Изображение с сайта tjournal.ru.
Обеспокоенная тем, что она непреднамеренно подслушивает личные разговоры других людей, Анна написала в техподдержку Telegram. Она рассказала TJournal:
В январе на заблокированном экране всплыло сообщение из какой-то беседы, в которой я не состою. Я удивилась и открыла Telegram. Чат не отображался, хотя уведомления продолжали поступать. Написала в поддержку, приложив скриншоты.
Не получив ответа от техподдержки, Анна просто удалила Telegram. Но недавно она была вынуждена установить его снова для работы в рекламном агентстве. Уведомления появились опять.
Как и раньше, Анна могла видеть уведомления о новых сообщениях, но не имела доступ к самому чату. Ее попытки отправить сообщения в эти чаты не увенчались успехом. И, по-видимому, другие участники чата не догадывались, что кто-то подсматривает за их перепиской. По просьбе TJournal Анна даже записала в доказательство видео [3].
Последние уведомления пришли из чата под название «SMM» (сокращенно от «social media management»). Увидев несколько имен (такие как Илья Клишин, Алексей Абанин и Даниил Зубов), Анна поняла, что подсматривала за внутренней перепиской команды редакторов телеканала «Дождь». Она также заметила, что ссылки на обсуждаемые истории вскоре появлялись на страницах «Дождя» в Twitter, Facebook и vKontakte.
Основатель Telegram Павел Дуров ответил TJournal, что проблема вызвана ошибкой в программе, и предположил, что Анна получила свой телефон от кого-то, кто раньше работал на телеканале «Дождь» и имел доступ к чату. Анна же говорит, что между ее подругой и телеканалом «Дождь» нет абсолютно никакой связи.
Она рассказала TJournal, что никому не давала свой телефон и ее аккаунт в Telegram был единственный, когда-либо использованный на данном устройстве.
Могут ли пользователи доверять Telegram?
Telegram позиционирует себя как защищенный сервис, но специалисты в области безопасности ставят под сомнение надежность его криптографии. Кроме того, что создатели приложения сделали свой криптографический протокол, а не использовали одно из готовых решений, существует проблема зависимости от устройства. По умолчанию Telegram использует текстовую авторизацию, которая позволяет пользователю привязать свое устройство к Telegram аккаунту посредством ввода проверочного кода, присылаемого в SMS-сообщении на смартфон. Можно включить проверку в два шага, но это не обязательно.
Но эти известные особенности системы Telegram не объясняют, почему Горбачева, чей смартфон, казалось бы, никогда не принадлежал кому-либо, связанному с телеканалом «Дождь», внезапно начала получать уведомления о переписке. Горбачева объясняет, что, согласно ее опыту, ошибка в безопасности может быть серьезнее, чем думали критики.
Анна пребывает в растерянности относительно того, как и почему она может видеть сообщения из чата, к которому не имеет доступ. После повторных обращений она все-таки получила ответ от техподдержки. Они посоветовали ей закрыть все активные сессии в чате. Но это не помогло и странные уведомления продолжили приходить на ее приложение.
При дальнейшем исследовании TJournal обнаружил, что проблема при смене аккаунта (вход в приложение после того, как другой пользователь оттуда разлогинился) – распространенная ошибка в Telegram. Несколько разных пользователей сообщили, что получили доступ к контактам и сообщениям людей, пользовавшихся приложением на этом устройстве раньше. Был только один способ решить эту проблему: удалить новый аккаунт с устройства и из Telegram в целом при полной потере данных.
Основатель сервиса Павел Дуров говорит, что они сейчас удаляют кэш со старыми данными пользователей, столкнувшихся с багом после того, как он был признан официально. Но для людей, обнаруживших эту проблему раньше, она так и осталась нерешенной. Анна все еще получает уведомления о буднях телеканала «Дождь», несмотря на сворачивание всех активных сессий в Telegram. В техподдержке ей сказали, что лучший вариант – сбросить смартфон к заводским установкам после того, как предыдущий владелец вышел из приложения.
Итак, что делать, если ваш Telegram внезапно начал присылать вам неожиданные уведомления или показывать странные контакты? Дуров говорит, что единственно верное решение это деактивировать Telegram-аккаунт, перейдя по этой ссылке [4] прямо в мессенджере. В результате все ваши логи и файлы исчезнут.
Telegram заявляет, что мессенджер не предназначен для использования на чужих устройствах, в противном случае происходит объединение контактов, на которое жаловались несколько людей. Одному из пользователей служба техподдержки посоветовала использовать на смартфоне только свой аккаунт, фактически признав зависимость мессенджера от устройства. Но сообщения из странных чатов, о которых рассказала Анна, все еще остаются загадкой. А репутация Telegram как защищенного мессенджера находится под вопросом.