Включили VPN и решили, что вопрос приватности закрыт? Новое исследование показывает, что всё может быть не так просто
Криптографы заявили, что обнаружили в Telegram механизм, который потенциально позволяет отслеживать устройство пользователя по скрытому идентификатору.
Согласно 89-страничному отчёту компании Symbolic Software, протокол MTProto раскрывает 64-битный параметр auth_key_id. По мнению авторов исследования, этот идентификатор может сохраняться достаточно долго, чтобы устройство можно было узнавать даже после смены IP-адреса, подключения через VPN, перехода между разными сетями и перезапуска приложения.
Работу подготовил криптограф Надим Кобейсси по заказу Global Network Solutions. После публикации отчёт быстро привлёк внимание журналистов и специалистов по информационной безопасности.
В центре исследования оказался auth_key_id — идентификатор ключа авторизации, который присутствует в каждом сообщении MTProto. Сам по себе он не позволяет получить доступ к переписке, однако, как считают авторы, может использоваться для связывания сетевой активности одного устройства в разных местах и сетях.
Исследователи утверждают, что Telegram-клиенты для Android и настольных платформ используют MTProto поверх обычных TCP-соединений, а не через TLS или HTTPS. Несмотря на использование порта 443, в перехваченном трафике они не обнаружили признаков TLS-соединения. По их версии, после снятия базовой обфускации auth_key_id остаётся доступным для наблюдения.
Авторы подчёркивают, что для такого наблюдения не требуется взлом шифрования или вмешательство в соединение. Достаточно иметь доступ к сетевому трафику. В качестве примеров приводятся интернет-провайдеры, администраторы корпоративных сетей, владельцы публичных Wi-Fi-точек и мобильные операторы. После первоначального сопоставления идентификатора с конкретным человеком можно отслеживать появление его устройства в разных сетях.
Отдельно в отчёте отмечается, что Secret Chats и технология Perfect Forward Secrecy защищают содержимое переписки, но не решают проблему возможного отслеживания через auth_key_id, поскольку речь идёт не о содержимом сообщений, а о сетевых метаданных.
По результатам тестов исследователей, auth_key_id не изменялся после смены IP-адреса, переключения между Wi-Fi и VPN, подключения к разным серверам внутри дата-центров и даже в течение нескольких недель наблюдений. При этом авторы уточняют, что идентификатор позволяет отслеживать именно устройство, а не автоматически раскрывает личность пользователя. Для привязки к конкретному человеку требуется дополнительное сопоставление данных.
В качестве решения Symbolic Software предлагает использовать для всех соединений MTProto транспортное шифрование уровня TLS. По мнению исследователей, проблема связана с архитектурой передачи данных, а не с настройками пользователя или выбранным типом чата.
В Telegram с выводами отчёта не согласились. Компания заявила, что auth_key_id регулярно обновляется, не содержит пользовательских данных и не позволяет получить информацию о переписке, собеседниках или владельце аккаунта.
Также в Telegram отметили, что наблюдатель, способный видеть auth_key_id, уже располагает более информативными данными для отслеживания, включая IP-адреса, DNS-запросы, информацию о серверах и особенности сетевого трафика.
Отдельно компания опровергла заявления о возможном доступе подрядчиков к пользовательским данным и инфраструктуре. В Telegram подчеркнули, что управляют собственной сетью серверов и используют модель нулевого доверия, при которой физический доступ к оборудованию не даёт доступа к пользовательским данным, ключам шифрования и внутренним системам.
Главный предмет спора касается не содержимого сообщений, а сетевых метаданных. Symbolic Software считает auth_key_id устойчивым идентификатором, который может использоваться для долгосрочного наблюдения за устройством. Telegram настаивает, что этот параметр регулярно меняется, не раскрывает личные данные и не предоставляет дополнительных возможностей для слежки тем, кто уже имеет доступ к сетевой инфраструктуре.
Мой авторский телеграм канал: https://t.me/damochkin/14
