Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Небезпечний Telegram: нова програма P2PL та загрози нацбезпеці України

Анна Сергієнко
Анна Сергієнко Журналістка SPEKA
29 березня 2024 11 хвилин читання

Месенджер Telegram запустив нову функцію Peer-to-Peer Login (P2PL), яка є досить суперечливою щодо безпеки. SPEKA розповідає, чим загрожує така пропозиція та які ризики використання Telegram для національної безпеки України.

Peer-to-Peer Login

Як зазначається на сайті месенджера, користувачі реєструються та авторизуються у Telegram за допомогою OTP-коду. Повідомлення з цим кодом надсилаються через корпоративних SMS-операторів, які мають різний ступінь надійності, залежно від регіону та інших чинників.

Знімок екрана користувача Reddit Знімок екрана користувача Reddit

Щоб користувачі в усіх регіонах могли надійно отримувати одноразові паролі, Telegram пропонує програму P2PL. Ця функція зараз розгортається у деяких країнах для користувачів Telegram для Android. 

Максим Саваневський, CEO комунікаційного агентства plusone social impact, наголошує: 

До речі, iOS, на відміну від OS Android, не дає можливості стороннім виробникам застосунків надсилати SMS. Бо це є потенційною дірою у системі безпеки.
Максим Саваневський

Користувач добровільно надає свій номер телефону як ретранслятора для SMS-кодів входу, в обмін на це компанія надсилає код для переходу на Telegram Premium.

Використання P2PL оцінюється компанією як згода з умовами програми. У цих умовах зазначено, що: 

  • компанія надсилатиме до 150 OTP-кодів на місяць;
  • з користувачів-учасників може стягуватися плата за певні SMS-повідомлення і Telegram не надає жодних відшкодувань за це;
  • користувач отримує безкоштовну щомісячну підписку лише тоді, якщо виконає квоту успішно надісланих OTP-кодів;
  • Telegram знімає з себе будь-яку відповідальність за наслідки витоку номера телефону користувача.

Тож врешті користувач може сплатити більше за надіслані повідомлення, ніж сплатив би за Telegram Premium.

Загроза конфіденційності

Та найбільша проблема не у цьому. Під загрозою конфіденційність користувача. Адже одержувач OTP-коду бачить номер телефону відправника. 

З погляду безпеки це дуже погана історія. Користувач віддає в оренду Telegram свій номер телефону — один із найважливіших ідентифікаторів особи. При цьому користувач навіть не знатиме, для яких сервісів і хто буде використовувати його номер телефону. Дуже небезпечно, що кінцевий користувач (який використовує вас для ОТР) знатиме ваш номер телефону, за яким можна, наприклад, ідентифікувати особу в Telegram та в інших сервісах.
Максим Саваневський

При цьому в умовах користування програмою чітко зазначено, що Telegram «не несе відповідальності за будь-які незручності, переслідування або шкоду, спричинені небажаними, несанкціонованими або незаконними діями, вчиненими користувачами, яким став відомий ваш номер телефону через P2PL».

В умовах ідеться, що програма має на меті захистити конфіденційність відправника OTP, проте не зовсім зрозуміло, як Telegram хоче запобігти тому, щоб одержувачі бачили номер телефону відправника та зв’язувалися з ним. 

Я думаю, що людина, яка погодиться за $5 на місяць віддати свій номер в оренду, ймовірно має дуже низький рівень знань цифрової безпеки. Фактично користувачами цього сервісу будуть люди, яких онлайн-шахраям буде найлегше обдурити. Це прекрасна вибірка для таких шахраїв.
Максим Саваневський
Telegram Premium в обмін на номер / Telegram Info English Telegram Premium в обмін на номер / Telegram Info English

Мотиви Telegram для впровадження P2PL

Максим Саваневський каже, що не знає мотивів, але має кілька припущень:

  • по-перше, завдяки цьому сервісу Telegram зможе збирати додаткову інформацію про користувачів і як одна з ланок процесу авторизації знатиме, якими сервісами вони користуються;
  • по-друге, це може бути бажання посилити свій імідж месенджера поза системою, тобто бути радше комунікаційною кампанією, мета якої — продати Telegram як сервіс, який допомагає людям обходити певні обмеження. 
Більшість користувачів не будуть розуміти, у чому суть сервісу, але думатимуть, що у Telegram працюють круті фахівці та роблять навіть щось трохи, можливо, незаконне, але корисне. Зважаючи на те, що Telegram серед великих месенджерів досі залишається чи не єдиним, в якого за замовчуванням не стоїть Р2Р-шифрування, люди однаково переконані, що він мало не найбезпечніший і найзахищеніший.
Максим Саваневський

Канал Telegram Info English, який анонсував програму, припускає, що програму будуть використовувати у країнах з високими тарифами на SMS-повідомлення, як-от Індонезія.

Telegram в Україні

Загроза Telegram для національної безпеки справді серйозна, і у лютому 2024 року це визнали у ГУР. Представник Головного управління розвідки Міноборони України Андрій Юсов заявив:

Що стосується Telegram, то загрози, які він несе для суспільства, реальні. Йдеться не про окремих користувачів чи певні медіа, які представлені на цій платформі, питання до самої платформи. Вона містить у собі цілу низку загроз для інформаційної, і не тільки, безпеки нашої країни. На це питання треба давати відповідь, і, думаю, що це обов’язково відбудеться. 
Андрій Юсов

І, власне, перші кроки нещодавно відбулися. У Верховній Раді 25 березня зареєстрували законопроєкт №11115, який поки що не забороняє, але у разі ухвалення може суттєво обмежити використання Telegram в Україні. 

Максим Саваневський пояснює, що законопроєкт створює передумови для того, щоб держава могла вимагати більшої прозорості від Telegram: знати структуру власності та джерела фінансування, відкрити представництво в Україні. У разі невиконання вимог держава зможе заборонити використання органами влади (як центральної, так і місцевої) Telegram як каналу комунікації. Це також стосуватиметься фінансових сервісів. 

Але, думаю, це лише перший крок. Якщо Telegram не буде співпрацювати напряму з українською владою, його варто забороняти. У нас триває війна. І ризики від інформаційних впливів росії через Telegram є значно вищі за втрати, які виникнуть через його закриття. 
Максим Саваневський

Загрози для національної безпеки

У пояснювальній записці до законопроєкту №11115 йдеться, що після ухвалення Закону України “Про медіа” під дію українського законодавства потрапила низка нових медіасервісів, які до того ніяк не регулювалися. Водночас, на думку авторів законопроєкту, запропоноване законом про медіа регулювання залишилося неповним, що проявилось у неможливості державі ефективно реагувати на проблеми в інформаційній сфері. В умовах війни ці проблеми створюють очевидні загрози національній безпеці. 

Зв’язок з агресором

У документі йдеться, що Telegram може бути пов’язаний із державою-агресором, про що відкрито заявляв і путін, і російський регулятор інтернету роскомнадзором та інші офіційні особи. 

У спільній заяві щодо захисту інформаційного простору України від російських ворожих Telegram-каналів, зробленій Центром протидії дезінформації при РНБО, МВС, Міноборони, СБУ та іншими державними органами, зазначалося про причетність низки каналів на платформі Telegram до російських спецслужб.

Через використання афілійованих із росією платформ для шпіонажу Telegram заборонили використовувати державним посадовцям Норвегії. Це стосується також заборони встановлювати відповідні програми на комп’ютери та інші пристрої держслужбовців. Аналогічна умова міститься у Правилах поведінки у соціальних мережах, які є частиною Методичних рекомендацій з використання соціальних мереж у Збройних силах України.

Менеджер проєктів з медіаграмотності та протидії дезінформації «Незалежні медіа» Олександр Монастирський зазначає, що ворог застосовує мережу Telegram-каналів для поширення дезінформації, для введення людей в оману і вже є чимало прикладів і доказів того, що саме таким чином ворог найшвидше і найуспішніше проводить свої дезінформаційні операції та ІПСО-кампанії.

Надсвобода слова у ЗМІ

Власники Telegram-каналів публікують усе, що вони хочуть і як хочуть, прикриваючись при цьому свободою ЗМІ. На цьому акцентує Кирило Буданов:

Telegram з погляду безпеки є проблемою. Це варто розуміти. Я проти утисків свободи слова, але це вже занадто. Тобто у нас будь-яка людина може зробити канал, почати на ньому писати все, що заманеться. А коли починають щось робити, намагаються контролювати, прикривається тим, що це обмеження свободи ЗМІ. Та це не свобода ЗМІ, це трошки інакше називається.
Кирило Буданов

Водночас очільник ГУР наголошує, що Telegram може стати помічником щодо інформаційного впливу на людей, які перебувають на тимчасово окупованих територіях України. 

Легалізований даркнет

Експерт ГО «Інститут дослідження кібервійни» Єгор Аушев назвав Telegram фактично легалізованим даркнетом (повністю анонімна, нерегульована і нікому не підконтрольна частина інтернету. — Ред.), у якому можна поширювати різну інформацію, і на цю інформацію ніяк не вплинеш:

У цьому месенджері поширюється дуже багато інформації, зокрема, зливи про наших військових у різних анонімних групах. Там також багато дитячої порнографії, продаж наркотиків. На це ніхто не може вплинути, і це проблема.
Єгор Аушев

Telegram може збирати особисті дані користувачів

Надаючи доступ до контактів, користувач передає всі дані контактів, які має — ім’я, телефон, емейл, можливо, адреса чи навіть певні нотатки про цю людину. При цьому сам Telegram стверджує, що зберігає на своїх серверах лише імена та телефони з контактної книги користувача. Проте Максим Саваневський на своїй сторінці у Facebok стверджує, що цього теж достатньо: 

  • Telegram має чітке розуміння кола контактів користувача та рівень його звʼязків із конкретною людиною;
  • ця інформація може багато сказати також про самого користувача: сфера діяльності, місце проживання, сервіси, якими користується, і ,можливо, який спосіб життя веде;
  • навіть якщо телефон людини не відомий Telegram і ця людина ніколи не користувалася цим месенджером, через записні книги інших людей її можна ідентифікувати.

Максим Саваневський пояснює, що Telegram, завдяки доступу до контактів користувача, у режимі реального часу бачитиме, які нові контакти у нього з’являються (що свідчитиме про те, що користувач почав з кимось взаємодіяти чи спілкуватись):

Наприклад, у якихось трьох розробників протягом короткого часу з’являється у контактній книзі телефон якогось офіцера ГУР. Це свідчитиме про те, що вони з доволі високою ймовірністю взаємодіяли з ним.
Максим Саваневський

Це ж стосується й доступу до Wi-Fi. Telegram має доступ до інформації про ІР-адресу користувача:

Якщо ви користуєтесь Wi-Fi без VPN, то сервісу легко буде ідентифікувати ваш графік: коли ви приходите додому, коли буваєте на роботі. Або, якщо у вас важливе відрядження за кордон, знати, що ви сьогодні прилетіли у Вашингтонський аеропорт ім. Даллеса.
Максим Саваневський
0
Прокоментувати
Інші матеріали

Шахраї зі штучним інтелектом: сучасні схеми обману

Сергій Коноплицький 5 годин тому

Як користуватися WhatsApp Web. Покрокова інструкція

Анна Сергієнко 13 травня 2024 09:57

Хакери кремля атакували водопостачання у США

Олеся Дерзська 9 травня 2024 19:40

Злом заради коштів, хмарні сервіси та ШІ: головні тренди кібербезпеки зі звіту Mandiant-Trends

Олександр Тартачний 8 травня 2024 08:46

Франція готується до кібератак на Олімпійських іграх

Владислав Паливода 7 травня 2024 13:33