Telegram protokoli foydalanuvchilarni kuzatish imkonini beruvchi doimiy IDni sizdirib kelmoqda

Telegramning MTProto protokoli bo'yicha yangi e'lon qilingan texnik sharh shundan ogohlantiradiki, ushbu xabar almashish platformasi passiv tarmoq kuzatuvchilariga doimiy qurilma identifikatorlarini fosh etadi, bu esa Telegram shifrlash tizimini buzmagan holda foydalanuvchilarni tarmoqlar, joylashuvlar va sessiyalar bo'ylab kuzatish imkonini berishi mumkin.

Tadqiqotchilarning ta'kidlashicha, muammo hal qilinmaganicha qolmoqda, chunki Telegram MTProto trafigi uchun transport darajasidagi (transport-layer) shifrlashni hanuzgacha majburiy qilmagan.

89 sahifadan iborat bo'lgan ushbu maqola Symbolic Software kriptografi doktor Nadim Kobeissi tomonidan yozilgan va Global Network Solutions, Inc. buyurtmasiga asosan tayyorlangan. Hisobot ushbu haftada iStories va OCCRP olingan natijalar haqida xabar berganidan so'ng diqqat markaziga tushdi, bu esa audit ortida turgan kompaniyani to'liq hujjatni chop etishga undadi.

Tadqiqot MTProtoning auth_key_id kalitiga qaratilgan bo'lib, u har bir Telegram xabari sarlavhasiga kiritilgan 64 bitli identifikatordir. Hisobotga ko'ra, identifikator ilovani qayta ishga tushirish, IP-manzilni o'zgartirish, VPN'dan foydalanish va tarmoqni o'zgartirish holatlarida ham barqaror bo'lib qoladi; tadqiqotchilarning ta'kidlashicha, bu holat passiv tarmoq kuzatuvchilariga uzoq muddat davomida faolliklarni o'zaro bog'lash va solishtirish imkonini berishi mumkin.

Android va kompyuter (desktop) platformalaridagi Telegram dasturlari MTProto trafigini HTTPS yoki TLS bilan shifrlangan kanallari o'rniga ochiq TCP ulanishlari orqali uzatadi, hatto odatda xavfsiz veb-trafik bilan bog'lanadigan 443-portdan foydalanganda ham. Xabarlarga ko'ra, tutilgan paketlar (packet captures) tahlili hech qanday TLS ulanish (handshake) yoki sertifikat almashinuvi yo'qligini ko'rsatgan, bu esa transport darajasining o'zi shifrlanmagan holda qolishini anglatadi.

Bu esa internet-provayderlar, korporativ tarmoq ma'murlari, mehmonxona Wi-Fi operatorlari, mobil aloqa operatorlari va davlat kuzatuv tizimlariga xabar mazmunini shifrdan yechmagan holda doimiy auth_key_idni kuzatish imkonini beradi.

Maxfiylik bo'yicha tadqiqotchi Lukash Oleynik ushbu xulosalarni X tarmog'ida keng tarqatib, foydalanuvchilarni nozik yozishmalar va ma'lumotlar almashishda Telegramga ishonib qolmaslik haqida ogohlantirdi.

Hisobotda, shuningdek, Telegramning Maxfiy chatlari (Secret Chats) va Mukammal to'g'ridan-to'g'ri maxfiylik (Perfect Forward Secrecy) himoya choralari bu muammoni yumshata olmasligi ta'kidlanadi, chunki fosh bo'lish holati ilova shifrlash qatlamidan pastroq darajada yuz beradi. Garchi Maxfiy chatlar xabar mazmunini uchdan-uchga (end-to-end) shifrlash orqali himoya qilsa-da, MTProto shifrlanmagan TCP ulanishlari orqali yuborilganda, transport metama'lumotlari, shu jumladan auth_key_id, passiv kuzatuvchilar uchun ochiq ko'rinadigan bo'lib qolaveradi.

Xulosalarni tasdiqlash uchun tadqiqotchilar Telegramning MTProto hujjatlarini ko'rib chiqdilar, avvalgi mustaqil izlanishlarni takrorladilar hamda Android uchun Telegram va macOSdagi Telegram Desktopda paketlarni tutib olish (packet captures) va trafik tahlilini amalga oshirdilar. Tadqiqotchilarning aytishicha, ular Telegramning ochiq hujjatlashtirilgan va ortga qaytarish (reverse) juda oson bo'lgan chalkashtirish (obfuscation) sxemasidan foydalanib, tutilgan trafikdan auth_key_id qiymatlarini ajratib olishga muvaffaq bo'lishgan.

Tadqiqotchilar barcha MTProto ulanishlari uchun TLS shifrlashni talab qiladigan va shifrlanmagan TCP zaxira (fallback) variantlarini butunlay olib tashlaydigan yechimni taklif qilmoqdalar. Bu muammo hal etilmagunicha, Telegram foydalanuvchilari qanday sozlamalardan, qaysi dastur talqini yoki platformasidan foydalanishidan qat'i nazar, metama'lumotlarga asoslangan kuzatuvlar oldida himoyasiz bo'lib qolaveradi.

Telegram CyberInsiderga taqdim etgan bayonotida bu xulosalarni rad etib, o'z veb-saytida e'lon qilingan batafsil texnik javobga ishora qildi. Kompaniyaning ta'kidlashicha, hisobot xulosalari noto'g'ri va MTProtoning auth_key_id identifikatori "muntazam ravishda o'zgarib turadi va foydalanuvchi ma'lumotlarini, xabarlar mazmunini, qabul qiluvchilarni yoki shaxsiy ma'lumotlarni oshkor qilmaydi". Telegram, shuningdek, "xabarlar mazmuni va qabul qiluvchilarning ma'lumotlari protokol ichida shifrlangan holda qolishi"ni alohida ta'kidladi.

Kompaniya yana shuni qo'shimcha qildiki, auth_key_idni kuzatish qobiliyatiga ega bo'lgan har qanday tarmoq kuzatuvchisi shundoq ham boshqa metama'lumotlarga, jumladan foydalanuvchining IP-manziliga, ulangan server nomlariga va trafik shakllariga (traffic patterns) kirish imkoniga allaqachon ega bo'ladi.