Непостоянная рубрика "побомбить на любимый мессенджер". Здесь, как вы поняли, я говорю о всем том, что мне не нравится в Telegram.
Вот телега считается одним из самых надежных и защищенных мессенджеров. Ну то есть без применения методики паяльника в жопе или украденных девайсов с установленной телегой переписки не достать. Да, шифрование сообщений с хранением ключей расшифровки в разных юрисдикциях! Да, секретные чаты с end-to-end (оконечным) шифрованием!
Вот как бы не так. Вернее да, если поставить
cloud password, то действительно, зная пароль на вход из перехваченной СМС-ки, товарищ майор зайти в ваш аккаунт не сможет. Так что ставьте себе пароль на вход в аккаунт (не на разблокировку мессенджера, а именно cloud password, который вам надо будет вводить вдобавок к коду из СМС), потому что кто знает, в современных реалиях он вам может и пригодится. Хотя есть и масса других мест, где секьюрити не помешало бы улучшить, например тот косяк с отсутствием шифрования в клиенте под Mac OS, о котором я писал почти месяц назад (едрить, сколько времени прошло).
В этой всей ситуации больше всего вымораживает то, что команда Telegram, кажется, полностью этот вопрос игнорирует. Ну то есть мы тут все из себя защищенные, поставите телегу, и ваши сообщения никто не прочитает, сидите-сидите, мы тут сами все сделаем, вам остается лишь скачать телегу. При этом они не удосуживаются хоть намекнуть пользователю, что дефолтные cloud-чаты легко прочитать, просто перехватив пароль из СМСки. И что тебе, пользователь, стоило бы поставить дополнительный пароль
И перехват СМСок не только правительству или оператору кстати доступен, но и какому-то вашему недоброжелателю, который просто вытащит у вас из телефона симку или посмотрит пароль в уведомлении на экране блокировки телефона, потому что на некоторых телефонах они не скрываются по-человечески. Привет, Xiaomi Redmi 4 Pro (да, там они скрываются, но зайдя в камеру, все равно можно прочитать новое уведомление), мой предыдущий телефон кстати.
А ведь cloud-чатами все и пользуются в основном, а не этими хвалеными secret-чатами с end-to-end (оконечным) шифрованием. Просто потому что удобнее в повседневности и доступно на всех клиентах. Да-да, secret-чатов, до сих пор не завезли в Telegram Desktop, так что пользователям Windows и Linux ничего не остается, кроме как использовать cloud-чаты или чатиться с неудобной клавиатурой телефона. Кроме того, групповые чаты существуют только в облаке, хоть какого-то подобия секьюрности сюда тоже не завезли.
И это не считая того, что через телегу проходит немало секретной информации (см.
NDA). В том числе внутренняя переписка сотрудников всяких Яндексов, Тинькофф-банков и кучи других российских, украинских и т.д. компаний. Хотя все равно телега для них пожалуй один из самых подходящих мессенджеров: и удобно, и секьюрно, хоть и с оговорками.
Мораль тут такова: не все, секьюрно, что секьюрно. Ставьте пароль на вход в аккаунт, следите за тем, чтобы в активных сессиях не было левых логинов, интересуйтесь информационной безопасностью, ибо это не одних лишь айтишников удел. Лучи добра вам!
