Чем плох Telegram?

Паша Дуров вместе со своим братом заслужил немало похвал, сделав как говорят "приватный" мессенджер. Действительно, если сравнивать со многими другими централизованными решениями, здесь есть много плюшек:

• При двойной аутентификации и облачном пароле, вас действительно сложно взломать.

• Приватный чат сохраняет довольно надёжную репутацию (хотя зря)

• Можно делать приватные каналы, где находится относительно безопасно.

• Другим необязательно знать ваш телефон, достаточно лишь никнейм. В отличие от того же Signal.

• Каналы и чаты стали отличным источником информации. По всему миру это отличная альтернатива СМИ и удобство чтения со смартфона.

• Множество других решений в виде ботов, работы с Tor/VPN, защитой пользователей, медиаконтента и тд.

Однако, хотелось бы немного развеять миф о том, что это всё ещё хороший мессенджер для активиста.

Прежде всего, СМС отслеживается мобильным оператором. И хоть, что делай, но получать его на телефон находясь близко к своему жилищу -- плохая идея. Точно так же, как получать её в своём регионе (если это не прямо крупный город, что тоже не гарант безопасности).

Если полиция получит физический доступ к вставленной сим-карте, то, что помешает ей получить СМС, выбивать у вас облачный пароль и слить все контакты? Ну про клонирование сим-карты я уже молчу. В других решений, где нет привязки к телефону, это всё гораздо сложнее. Особенно в децентрализованных мессенджерах. Во многих, вычислить человека практически невозможно.

В телеграме есть ID. Да, они есть. В том числе в чате/канале. С помощью разных ботов (рекламировать не буду, но найти можно) за деньги, можно легко вычислить ваш номер, а если нет, то чаты в которых вы находитесь. Даже приватные. При том, необязательно даже вступать в диалог, или что-то такое. Так что если у вас "добрый аккаунт" для друзей, но параллельно есть чатики с захватом миром, то это станет известно.

Сомнительное шифрование групповых чатов. Если в других мессенджерах шифруются все чаты, и прекрасно синхронизируются с разными устройствами (matrix, omemo, signal, autocrypt), в телеграме это с натяжкой можно сказать только про приватные. А шифрование с Десктопа и вовсе работает только в устройствах Apple. Синхронизация -- далеко не всегда плюс, поэтому тут не могу настаивать на своей правоте. Однако...

Как шифруются файлы автор вовсе не знает. Но ничего оттуда не удаляется навсегда.

Если не чистить кэш и локальную базу данных, то секретные чаты читаются. Да-да, всё так. Сохраняются на устройстве и извлекаются. Но никого же об этом не предупреждают, верно? При том сделают это не специалисты какие-то, а вполне локальная экспертиза в провинции. Есть личный пример товарища.

Базы данных регулярно сливают. Такое уже было неоднократно. В России или Беларуси. В частности, можно найти человека по никнейму в сети. Там будет его телефон и другие данные. 

Какие могут быть решения?

Уже писал ранее про Киберпартизан: это клиент с двойным-дном от Киберпартизан:

• Android:http://https://github.com/wrwrabbit/Partisan-Telegram-Android

• ПК: https://github.com/wrwrabbit/tdesktop

Из минусов, есть информация, что силовики научились идентифицировать приложение на подлинность. То есть, у вас будет стоять "модифицированный клиент", что можно будет заметить при экспертизе. Поэтому единственный совет -- постарайтесь втюхать ложный пароль или выйти из клиента.

Не использовать Телеграм для важных переписок!
Не состоять в чатах, где есть ваш основной аккаунт!
Не подставлять товарищей находясь в безопасности!

Не подписываться на чаты и каналы, за которые могут предъявить. От экстремизма до терроризма один небольшой шаг. И вчерашний милый активистский чатик может быть признан террористическим сообществом. Лично автор просто сохраняет отдельно нужные ссылки и читает каналы без подписок. Неудобно, зато нечего предъявить.

Если используете телеграм для активизма -- переходите на другие мессенджеры. После знакомства с кем-то в его ресурсах -- предложите воспользоваться нормальным мессенджером. 

В идеале: пользоваться только для бытовых, информационных или развлекательных нужд. Те же звонки, куда безопаснее производить именно там. 

Зачем этот материал? Больно мне читать, как много хороших людей садиться и получает штрафы будучи уверенной в продукте, о уязвимостях которого они не знают.

Подробный материал