Kreml ma dostęp do prywatnych treści na Telegramie? Eksperci o aplikacji
Paweł Durow, twórca komunikatora Telegram, trafił do francuskiego aresztu. Czy powinniśmy się bać o bezpieczeństwo aplikacji i tego, o czym w niej rozmawiamy? Zapytaliśmy ekspertów cyberbezpieczeństwa.
Maciej Piasecki
2024-08-26, 12:09
Pojawiają się pytania o bezpieczeństwo komunikatora, który reklamuje się jako chroniący prywatności użytkowników i dzięki temu stał czołowym sposobem organizacji m.in. w demokratycznym zrywie w Białorusi w 2020 r. Redaktor naczelny serwisu Niebezpiecznik.pl zasugerował nawet w poście, że nadszedł czas na odinstalowanie aplikacji.
Czy jest się czego bać? Zapytaliśmy o to ekspertów z organizacji zajmujących się bezpieczną komunikacją.
Czy Telegram to bezpieczna aplikacja?
- Nie jest to mój preferowany komunikator - ocenia w rozmowie z Polskim Harlo Holmes, szefowa bezpieczeństwa informatycznego w międzynarodowej Fundacji Wolności Prasy (ang. Freedom of the Press Foundation). - Badacze cyberbezpieczeństwa są krytyczni wobec sposobu, w jaki działa w nim szyfrowanie. Jednak to z pewnością lepsze rozwiązanie, niż komunikacja, która w ogóle nie jest szyfrowana, a więc każdy może ją podsłuchać - dodaje. Wszyscy eksperci, z którymi rozmawiamy, też mają poważne wątpliwości, czy można wprost nazywać Telegram "bezpiecznym".
REKLAMA
Czy ktoś może przeczytać moje wiadomości na Telegramie?
To możliwe. Telegram reklamuje się jako bezpieczny i szyfrowany komunikator, jednak nie zapewnia bezpieczeństwa z marszu. W pełni bezpieczna komunikacja ma miejsce jedynie wtedy, jeśli wiadomości nie może odczytać nikt poza nadawcą i odbiorcą (fachowe określenie to szyfrowanie "end-to-end" lub "E2E" - gwarantuje, że wiadomość jest zaszyfrowana u nadawcy i odszyfrowana dopiero u odbiorcy). Inaczej dostawca usługi, w tym wypadku Telegram, ma dostęp do treści wiadomości. Wiemy, że Telegram udostępniał wcześniej dane użytkowników władzom Niemiec i Indii.
Użytkownicy Telegrama muszą, w celu nawiązania prawdziwie bezpiecznej rozmowy, uruchomić dodatkową funkcję "sekretnego czatu" dla każdej konwersacji z osobna - inaczej treści wiadomości są dostępne dla firmy. Takiej funkcji nie da się w ogóle uruchomić dla popularnych w serwisie grup, zrzeszających często tysiące dyskutantów. Sam Telegram przyznaje, że w grupach mogą uczestniczyć też przedstawiciele służb, podając się za zwykłych użytkowników. Dotyczy to jednak każdego sposobu masowej komunikacji.
Istnieją pewne obawy, czy szyfrowanie w Telegramie jest odporne na próby złamania. - Nie rozumiem, dlaczego Telegram zdecydował się korzystać z własnego, mniej przetestowanego protokołu, niż sprawdzonego rozwiązania, które na pewno działa, tak jak robią to Signal i WhatsApp - mówi jeden z ekspertów bezpiecznej komunikacji, który prosi o anonimowość ze względu na wrażliwy charakter swojej pracy w organizacji wspierającej wolność słowa.
Czy aresztowanie Pawła Durowa wpływa na prywatność użytkowników Telegrama?
Według ekspertów cyberbezpieczeństwa, z którymi rozmawiało Polskie Radio, nic nie wskazuje, aby aresztowanie Durowa mogło wpłynąć na użytkowników aplikacji. Nie ma w tej chwili powodów do podejrzeń, że francuskie władze będą za pomocą procesu próbowały otrzymać dostęp do indywidualnych kont czy po cichu wymuszać luki pozwalające na inwigilację obywateli. - Warto jednak na bieżąco analizować, czy takich luk nie wymusza Rosja w wersji dostępnej na tamtejszym rynku - radzi Holmes.
REKLAMA
Czy władze Rosji mają dostęp do prywatnych treści na Telegramie?
Nie ma dowodów, by Telegram współpracował z rosyjskimi służbami, firma otwarcie zaprzecza tym zarzutom. Pawieł Durow opuścił Rosję po tym, jak firmy powiązane z kręgiem Putina przejęły jego portal VKontakcie, który służył m.in. w organizacji proeuropejskich protestów w Ukrainie. Durow odmówił też wydania władzom danych rosyjskich opozycjonistów, takich jak Aleksiej Nawalny. Po tym, jak Telegram został zakazany i na powrót zalegalizowany w Rosji, pojawiły się jednak obawy, że Durow poszedł na ugodę z rosyjskimi władzami, które pochwaliły go za "gotowość do walki z terroryzmem i ekstremizmem", co w Rosji obejmuje np. wspieranie Ukrainy.
Rosyjskie służby z dużym prawdopodobieństwem korzystają natomiast z możliwości automatycznego pobierania wielu danych bezpośrednio z serwerów Telegrama (tech. API scraping), na co pozwala jego otwarta architektura. Znając techniczne sposoby, z łatwością można dowiedzieć się np. które konto do jakich grup należy i jakie kanały obserwuje. - Służby wszystkich krajów powinny się tym zajmować, żeby efektywnie wykonywać swoją pracę - mówi ekspert bezpieczeństwa.
Czy posiadanie aplikacji Telegram na telefonie może narażać mnie na problemy?
Nie, pod warunkiem, że jest na bieżąco aktualizowana. Telegram szybko łata odkryte słabości w zabezpieczeniach, które mogłyby posłużyć do ataków na nasze urządzenie. Nic nie wskazuje, by w aplikacji znajdowały się luki celowo umieszczone tam przez twórców (ang. backdoor). Systemy Android oraz iOS zapewniają też obecnie dodatkowe warstwy ochrony. Jeśli pozwoliliśmy aplikacji na działanie w tle, musimy się jednak liczyć z tym, że nasze dane, w tym położenie, mogą być co jakiś czas wysyłane na serwery firmy - ostrzegają eksperci.
Jaki inny komunikator daje podobny lub wyższy poziom bezpieczeństwa?
Eksperci, z którymi rozmawialiśmy, jednogłośnie polecają Signal, darmowy komunikator. Oprócz szyfrowania E2E, nie zbiera on danych osób, które się nim posługują. Jego wadą może być wciąż dość mała baza użytkowników i nawracające drobne kłopoty techniczne, skutkujące czasem np. problemem z połączeniem.
REKLAMA
- Polskie firmy płacą milionowe okupy cyberoszustom. Skala zjawiska jest alarmująca
- Robaki giganty i terroryści. Tak Rosja "obrzydzała" igrzyska
Popularny wybór to WhatsApp należący do firmy Meta - właściciela Facebooka i Instagrama. Należy jednak pamiętać, że choć treści naszych rozmów powinny być tam bezpiecznie zaszyfrowane, to firma zbiera wiele danych o tym, jak korzystamy z aplikacji, np. gdzie, w jakich godzinach i z kim rozmawiamy. Nie mamy wpływu na to, co z nimi zrobi, a jej model biznesowy jest oparty na analizie danych i wykorzystywaniu ich do sprzedaży spersonalizowanych reklam. Nasze dane mogą też, mimo starań firmy, zostać wykradzione. - Najlepiej, jeśli platforma w ogóle nie zbiera o nas danych. Tylko wtedy są one naprawdę bezpieczne - mówi jeden z ekspertów.
Maciek Piasecki
REKLAMA