Стоит ли ставить крест на Telegram?

[Мистер Грей]

Чтобы видеть изображения, необходимо зарегистрироваться.

Разбор полетов или стоит ли ставить крест на Telegram?​

Итак, в интернете ходит достаточно много обсуждений о том, на сколько безопасен Telegram. Стоит ли ставить на нем крест?
Это сегодня как раз я и постараюсь выяснить, приводя только реальные факты и доводы.
Начнем:

1. Шифрование сообщений при переписке в Telegram, а именно рассматриваем секретные чаты.
Учтем первый и самый разумный факт - взломать Telegram в конечном итоге так никому и не удалось. В интернете очень много теории, предположений, но конкретного фактического взлома так и не было, как и ни одной статьи об этом. Проводили множество конкурсов по взлому данного мессенджера, даже с призовым фондом в 200,000$, результат был отрицательный.
Рассмотрим более подробно:
a) Исходный код мессенджера открыт, т.е. исходный код существующих клиентов Telegram (для Android, iOS и командной строки Linux) открыт и свободен для скачивания и изучения. Он лицензирован по GNU GPL 2.0, что даёт любому пользователю свободно изучать, модифицировать его и использовать — в том числе для коммерческих целей. Что конечно исключает модификацию со стороны правительственных служб и встраивание "звонилок".
б) Данный месенджер находится в Германии, более точнее в Берлине. Поэтому фактически он не попадает под юрисдикцию как АНБ, так и КГБ и всех "нашинских" служб.
в) Данные в дата-центрах хранятся на жестких дисках в зашифрованном виде. В Telegram заявляют, что даже проникновение в дата-центр и физический доступ к дискам не позволит получить данные переписки пользователей: каждый кластер зашифрован специальным ключом, который хранится в другом кластере под иной юрисдикцией. А ключ, дающий доступ к секретной переписке пользователя, хранится только на его устройстве и нигде больше. (Даже если нет, злоумышленнику или службам нужен физический доступ к серверам компании, это все рассмотрим подробно дальше).
г) Когда создаётся секретный чат, участвующие в нём устройства обмениваются ключами шифрования по так называемому протоколу Диффи — Хеллмана. После того как установлено безопасное end-to-end соединение, создаётся изображение, визуализирующее ключ шифрования вашего чата. Вы можете сравнить это изображение с тем, которое отображается у вашего собеседника, — если они идентичны, будьте уверены, что этот секретный чат безопасен и атака «человек посередине» в принципе невозможна.

2. Все таки если теоретически говорить о взломе Telegram, то только атакой "Человек посередине". (Не относится к секретным чатам в данном мессенджере).

Прошлой весной мы с Juliano Rizzo (@julianor) придумали криптографическую атаку на «секретный» чат MTProto из Telegram, которая может быть осуществлена приблизительно за 2^64 операций. Атака осуществляется с позиции человека посередине на серверах Telegram.
ИСТОЧНИК

Чтобы видеть ссылки, необходимо зарегистрироваться.

НО!

Конечно, атакующий может потратить кучу денег с целью получить доступ к серверам Telegram и ещё больше денег, чтобы осуществить атаку, но давайте будем реалистами, есть куда более простые и значительно более выгодные атаки.
ИСТОЧНИК

Чтобы видеть ссылки, необходимо зарегистрироваться.

3. Фактически взлом Telegram возможен, но явно не перехватом сообщений.

Каково же было удивление, когда обнаружилось, что все данные «секретного» чата (включая _приватный_ ключ) хранятся на диске в незашифрованном виде.
ИСТОЧНИК

Чтобы видеть ссылки, необходимо зарегистрироваться.

Да, как показало мое исследование данные действительно хранятся на телефоне, что подтверждает один факт - взломать вас можно только имея root доступ к вашему телефону. Но как уже прокоментировал это сам Павел Дуров и я с ним согласен

Уязвимости, описание которых начинается со слов «если у атакующего есть root-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть root-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона.
ИСТОЧНИК

Чтобы видеть ссылки, необходимо зарегистрироваться.

Так же вот, что сказала пресс-служба Telegram

Если представить, что у атакующего есть корневой доступ, в этом случае ни одно приложение не может быть безопасным. Например, чтобы показать что-то на экране, нужно отправить это в память устройства. Хакер с корневым доступом может просто читать эту память, так что манипуляции с файлами баз данных становятся необязательными.

Ни одно приложение Android не может заявить о защищённости от пользователя с корневым доступом. Системные уязвимости, которые дают корневой доступ, могут быть исправлены только производителем ОС. Поэтому все указанные вопросы следует адресовать Google.
ИСТОЧНИК

Чтобы видеть ссылки, необходимо зарегистрироваться.

Итого, могу сделать единый вывод:
Взлом Telegram возможен, но как и любой другой системы.
Взлом возможен, либо если не исползуется секретный чат, либо злоумушленники (ну или же службы), должны иметь доступ непосредственно к серверам Telegram или самому устройству.
Так что проблема не в самом шифровании, а только в аппратаном устройстве, которое мы используем, так как они как раз подвержены взлому.